Я пытаюсь защитить root-доступ на своих серверах Ubuntu (на компьютере 14.04 и сервере 16.04). Я хотел бы отключить root-доступ на всех TTY, кроме TTY1. Я знаю, что это можно сделать, отредактировав / etc / securetty и закомментировав все устройства, кроме TTY1, но я не уверен насчет Local X displays
. Должен ли я это прокомментировать? как насчет UART serial ports
, Serial Mux devices
, Chase serial card
, Cyclades serial cards
и т. д. и т. д.
Существует так много устройств, что я не уверен, как бороться с этим файлом. Можете ли вы привести меня в правильном направлении относительно того, какие устройства я должен отключить для работающей системы, но root может войти в систему только с TTY1?
Я думаю, что Вы тратите свое усилие на пустяки. Если Плохой Парень может присоединить терминального, Плохого Парня, может загрузиться от его USB.
, Но, с тех пор man securetty
говорит securetty - file which lists terminals from which root can log in
, это подразумевает, что Вы могли прокомментировать все кроме TTY1
. При комментировании (или не) строки для аппаратных средств, которые Вы не имеете, не имеют никакого значения.
С тех пор, если Вы смешиваете с /etc/securetty
, можно закончить заблокированные из системы, необходимо протестировать тщательно. Если Вы имеете batch
или at
настроенный, и выполнение Вас могло бы сделать путем установки root
пакетное задание, чтобы сделать::
cp /etc/securetty /etc/securetty.original
cp /tmp/modified.securetty /etc/securetty
sleep 20m
cp /etc/securetty.original /etc/securetty
И делают Ваше тестирование за следующие 20 минут, после которых, восстанавливается оригинал (работа) /etc/securetty
.