RHEL 5.5では、デフォルトで
[deuberger@saleen trunk]$ sudo cat /etc/securetty
console
vc/1
vc/2
vc/3
vc/4
vc/5
vc/6
vc/7
vc/8
vc/9
vc/10
vc/11
tty1
tty2
tty3
tty4
tty5
tty6
tty7
tty8
tty9
tty10
tty11
console
各項目タイプ(、および)vc/*
の違いは何ですかtty*
?具体的には、各項目タイプを追加して削除した最終結果は何ですか?
私が理解したのはログイン方法と時期に影響しますが、他の影響もありますか?どのエントリがあるかに応じて、いつログインでき、いつログインできないのですか?
編集1
tty1-6
私が知っているのは、これが最初の6つのコンソールで--to--を使用してログインできるかどうかに対応することです。私はいつも仮想コンソールだと思っていたので少し混乱しています。そしてそれは何に該当しますか?CtrlAltF1CtrlAltF6console
ありがとうございます。
編集2
シングルユーザーモードにはどのような影響がありますか?
答え1
/etc/securetty
モジュール協議を通じて、ログインが許可されるpam_securetty
仮想端末(tty*
)を決定します。root
以前は/etc/securetty
プログラムを直接コンサルティングしたが、login
今はPAMで処理する。したがって/etc/securetty
、PAMへの変更は使用だけでなく使用にも影響しますpam_securetty.so
。したがって、login
デフォルトではプログラムのみが影響を受けます。
/etc/pam.d/login
ローカルログインや/etc/pam.d/remote
リモートログイン(Telnetなど)に使用されます。
主な立場の種類と効果は次のとおりです。
/etc/securetty
存在しない場合は、root
すべてのログインを許可します。tty
/etc/securetty
存在し、空の場合、シングルユーザーモードまたは制限されていないプログラム(たとえば、、、、、、)root
にアクセスが制限されます。pam_securetty
su
sudo
ssh
scp
sftp
devfs
廃止予定のファイルシステム(処理用)を使用している場合は、フォーム/dev
エントリを追加すると、vc/[0-9]*
指定された仮想コンソール番号からルートログインが許可されます。udev
(動的デバイスの管理と交換用)を使用している場合は、フォームエントリを追加すると、ルートが指定されdevfs
たtty[0-9]*
仮想コンソール番号からログインできます。- リストは通常、現在のコンソールを指し、通常はシングルユーザーモードではファイル名としてのみ使用され、次の影響を受けないため、通常は
console
効果/etc/securetty
がありません。/dev/console
tty
/etc/securetty
- このような項目を追加すると、割り当てられた端末がリストされている端末の1つであると仮定し、疑似端末()を使用してログインするプログラムが
pts/[0-9]*
許可されます。pty
pam_securetty
root
pty
いいえこれらの項目はセキュリティリスクを提供するため含まれます。たとえば、誰かがTelnetを介してルートにログインできるようになると、パスワードはプレーンテキストで送信されます(このpts/[0-9]*
形式はRHEL 5.5で使用されている形式です。管理を使用している場合)。 、udev
違います)。devfs
シングルユーザーモードでは代わりに使用されるため、参照は作成されませ/etc/securetty
ん(詳細はマニュアルページを参照)。各ランレベルで使用されるログインプログラムを変更することもできます。sulogin
login
sulogin
/etc/inittab
ログインを/etc/securetty
制御するために使用しないでください。これを行うには、inの値を変更します。デフォルトでは、問い合わせを行うように設定されていません(だから)。これを行うには行を追加できますが、実際の値はステップが終了してから一定時間が経過した後に設定されるため、期待どおりに機能しません。 Inとステップ - 少なくともfor -()がハードコーディングされています。root
ssh
PermitRootLogin
/etc/ssh/sshd_config
/etc/pam.d/sshd
pam_securetty
/etc/securetty
ssh
tty
auth
auth
account
openssh
tty
PAM_TTY
ssh
上記の回答はRHEL 5.5に基づいています。これらの多くは他の* nixシステムの現在のディストリビューションと関連していますが、違いがあります。そのうちのいくつかは私に気づきましたが、すべてではありません。
他の回答が不完全または不正確であるため、この質問に直接回答しました。他の多くのオンラインフォーラムやブログなどにも、このトピックに関する不正確で不完全な情報があり、正確な詳細を得るために広範な調査とテストを行いました。私が言ったことの間に間違った部分があれば教えてください。
源泉:
- http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/5/html/Deployment_Guide/ch-sec-network.html#s1-wstation-privileges
- http://www.mathematik.uni-marburg.de/local-doc/centos5/pam-0.99.6.2/html/sag-pam_securetty.html
- http://linux.die.net/man/1/login
- http://www.tldp.org/HOWTO/html_single/Text-Terminal-HOWTO/
- http://www.kernel.org/doc/Documentation/devices.txt
- http://en.wikipedia.org/wiki/Virtual_console
- http://en.wikipedia.org/wiki/Linux_console
- http://www.kernel.org/doc/man-pages/online/pages/man4/console.4.html
- http://www.unix.com/security/8527-restricting-root-login.html
- http://www.redhat.com/mirrors/LDP/HOWTO/Serial-HOWTO-11.html#ss11.3
- http://www.mathematik.uni-marburg.de/local-doc/centos5/udev-095/udev_vs_devfs
答え2
vc/X
同義語ttyX
です。同じデバイスへの別のパスです。冗長性の目的は、状況を捉えてユーザーをロックしないようにすることです。
伝統的にlogin
(おそらくgetty
覚えていませんが)リストにない端末からのログインは確認され拒否され/etc/securetty
ました。root
最新のシステムには、これを行う他の方法と他のセキュリティ対策があります。その機能を/etc/login.defs
扱い、マンページで推奨されるコンテンツと、この機能の動作を制御できるコンテンツを確認してください。securetty
securetty(5)
/etc/pam.d/login
securetty
これはチェックのみなので、login
未使用のログイン方法login
(SSH、X Display Managerなどを使用use_login=no
)は影響を受けません。