/etc/securettyエントリの影響

/etc/securettyエントリの影響

RHEL 5.5では、デフォルトで

[deuberger@saleen trunk]$ sudo cat /etc/securetty 
console
vc/1
vc/2
vc/3
vc/4
vc/5
vc/6
vc/7
vc/8
vc/9
vc/10
vc/11
tty1
tty2
tty3
tty4
tty5
tty6
tty7
tty8
tty9
tty10
tty11

console各項目タイプ(、および)vc/*の違いは何ですかtty*?具体的には、各項目タイプを追加して削除した最終結果は何ですか?

私が理解したのはログイン方法と時期に影響しますが、他の影響もありますか?どのエントリがあるかに応じて、いつログインでき、いつログインできないのですか?

編集1

tty1-6私が知っているのは、これが最初の6つのコンソールで--to--を使用してログインできるかどうかに対応することです。私はいつも仮想コンソールだと思っていたので少し混乱しています。そしてそれは何に該当しますか?CtrlAltF1CtrlAltF6console

ありがとうございます。

編集2

シングルユーザーモードにはどのような影響がありますか?

答え1

/etc/securettyモジュール協議を通じて、ログインが許可されるpam_securetty仮想端末(tty*)を決定します。root

以前は/etc/securettyプログラムを直接コンサルティングしたが、login今はPAMで処理する。したがって/etc/securetty、PAMへの変更は使用だけでなく使用にも影響しますpam_securetty.so。したがって、loginデフォルトではプログラムのみが影響を受けます。

/etc/pam.d/loginローカルログインや/etc/pam.d/remoteリモートログイン(Telnetなど)に使用されます。

主な立場の種類と効果は次のとおりです。

  • /etc/securetty存在しない場合は、rootすべてのログインを許可します。tty
  • /etc/securetty存在し、空の場合、シングルユーザーモードまたは制限されていないプログラム(たとえば、、、、、、)rootにアクセスが制限されます。pam_securettysusudosshscpsftp
  • devfs廃止予定のファイルシステム(処理用)を使用している場合は、フォーム/devエントリを追加すると、vc/[0-9]*指定された仮想コンソール番号からルートログインが許可されます。
  • udev(動的デバイスの管理と交換用)を使用している場合は、フォームエントリを追加すると、ルートが指定されdevfstty[0-9]*仮想コンソール番号からログインできます。
  • リストは通常​​、現在のコンソールを指し、通常はシングルユーザーモードではファイル名としてのみ使用され、次の影響を受けないため、通常はconsole効果/etc/securettyがありません。/dev/consoletty/etc/securetty
  • このような項目を追加すると、割り当てられた端末がリストされている端末の1つであると仮定し、疑似端末()を使用してログインするプログラムがpts/[0-9]*許可されます。ptypam_securettyrootptyいいえこれらの項目はセキュリティリスクを提供するため含まれます。たとえば、誰かがTelnetを介してルートにログインできるようになると、パスワードはプレーンテキストで送信されます(このpts/[0-9]*形式はRHEL 5.5で使用されている形式です。管理を使用している場合)。 、udev違います)。devfs

シングルユーザーモードでは代わりに使用されるため、参照は作成されませ/etc/securettyん(詳細はマニュアルページを参照)。各ランレベルで使用されるログインプログラムを変更することもできます。suloginloginsulogin/etc/inittab

ログインを/etc/securetty制御するために使用しないでください。これを行うには、inの値を変更します。デフォルトでは、問い合わせを行うように設定されていません(だから)。これを行うには行を追加できますが、実際の値はステップが終了してから一定時間が経過した後に設定されるため、期待どおりに機能しません。 Inとステップ - 少なくともfor -()がハードコーディングされています。rootsshPermitRootLogin/etc/ssh/sshd_config/etc/pam.d/sshdpam_securetty/etc/securettysshttyauthauthaccountopensshttyPAM_TTYssh

上記の回答はRHEL 5.5に基づいています。これらの多くは他の* nixシステムの現在のディストリビューションと関連していますが、違いがあります。そのうちのいくつかは私に気づきましたが、すべてではありません。

他の回答が不完全または不正確であるため、この質問に直接回答しました。他の多くのオンラインフォーラムやブログなどにも、このトピックに関する不正確で不完全な情報があり、正確な詳細を得るために広範な調査とテストを行いました。私が言ったことの間に間違った部分があれば教えてください。

源泉:

答え2

vc/X同義語ttyXです。同じデバイスへの別のパスです。冗長性の目的は、状況を捉えてユーザーをロックしないようにすることです。

伝統的にlogin(おそらくgetty覚えていませんが)リストにない端末からのログインは確認され拒否され/etc/securettyました。root最新のシステムには、これを行う他の方法と他のセキュリティ対策があります。その機能を/etc/login.defs扱い、マンページで推奨されるコンテンツと、この機能の動作を制御できるコンテンツを確認してください。securettysecuretty(5)/etc/pam.d/login

securettyこれはチェックのみなので、login未使用のログイン方法login(SSH、X Display Managerなどを使用use_login=no)は影響を受けません。

関連情報