Как я могу запретить root-доступ со всех TTY?
Я пытаюсь защитить root-доступ на своих серверах Ubuntu (на компьютере 14.04 и сервере 16.04). Я хотел бы отключить root-доступ на всех TTY, кроме TTY1. Я знаю, что это можно сделать, отредактировав / etc / securetty и закомментировав все устройства, кроме TTY1, но я не уверен насчет Local X displays. Должен ли я это прокомментировать? как насчет UART serial ports, Serial Mux devices, Chase serial card, Cyclades serial cards и т. д. и т. д.
Существует так много устройств, что я не уверен, как бороться с этим файлом. Можете ли вы привести меня в правильном направлении относительно того, какие устройства я должен отключить для работающей системы, но root может войти в систему только с TTY1?
1 ответ
Я думаю, что Вы тратите свое усилие на пустяки. Если Плохой Парень может присоединить терминального, Плохого Парня, может загрузиться от его USB.
, Но, с тех пор man securetty говорит securetty - file which lists terminals from which root can log in, это подразумевает, что Вы могли прокомментировать все кроме TTY1. При комментировании (или не) строки для аппаратных средств, которые Вы не имеете, не имеют никакого значения.
С тех пор, если Вы смешиваете с /etc/securetty, можно закончить заблокированные из системы, необходимо протестировать тщательно. Если Вы имеете batch или at настроенный, и выполнение Вас могло бы сделать путем установки root пакетное задание, чтобы сделать::
cp /etc/securetty /etc/securetty.original
cp /tmp/modified.securetty /etc/securetty
sleep 20m
cp /etc/securetty.original /etc/securetty
И делают Ваше тестирование за следующие 20 минут, после которых, восстанавливается оригинал (работа) /etc/securetty.
-
1Upvoted! :-):-):-) – Fabby 24 February 2018 в 04:37