Wirkung von Einträgen in /etc/securetty

Question 1

/etc/securettywird vom pam_securettyModul konsultiert, um zu entscheiden, von welchen virtuellen Terminals ( tty*) rootaus eine Anmeldung zulässig ist.

In der Vergangenheit /etc/securettywurde von Programmen wie direkt konsultiert login, aber jetzt übernimmt PAM das. Änderungen an /etc/securettywirken sich daher auf alles aus, was PAM mit einer Konfigurationsdatei verwendet, die verwendet pam_securetty.so. Daher loginist standardmäßig nur das Programm betroffen.

/etc/pam.d/loginwird für lokale Anmeldungen und /etc/pam.d/remotefür Remote-Anmeldungen (wie Telnet) verwendet.

Die wichtigsten Eintragstypen und ihre Auswirkungen sind wie folgt:

Wenn /etc/securettynicht vorhanden, rootist die Anmeldung von jedem beliebigentty
Wenn /etc/securettyvorhanden und leer ist, rootwird der Zugriff auf den Einzelbenutzermodus oder auf Programme beschränkt, die nicht durch pam_securetty(d. h su. , sudo, ssh, scp, sftp) beschränkt sind.
devfsWenn Sie (ein veraltetes Dateisystem zur Handhabung ) verwenden /dev, ermöglicht das Hinzufügen von Einträgen des Formulars vc/[0-9]*die Root-Anmeldung von der angegebenen virtuellen Konsolennummer.
udevWenn Sie (für die dynamische Geräteverwaltung und als Ersatz für ) verwenden devfs, ermöglicht das Hinzufügen von Einträgen des Formulars tty[0-9]*die Root-Anmeldung von der angegebenen virtuellen Konsolennummer.
Das Auflisten consolein /etc/securettyhat normalerweise keinen Effekt, da es auf die aktuelle Konsole verweist und normalerweise nur als Dateiname im Einzelbenutzermodus /dev/consoleverwendet wird , der nicht betroffen ist vontty/etc/securetty
Das Hinzufügen von Einträgen wie pts/[0-9]*erlaubt es Programmen, die Pseudoterminals ( pty) verwenden, pam_securettysich anzumelden, rootvorausgesetzt, dass der zugewiesene Terminal ptyeiner der aufgelisteten ist; normalerweise ist das eine gute Ideenichtdiese Einträge einzuschließen, da dies ein Sicherheitsrisiko darstellt. Dadurch könnte sich beispielsweise jemand über Telnet als Root anmelden, wobei Passwörter im Klartext gesendet werden (beachten Sie, dass dies pts/[0-9]*das in RHEL 5.5 verwendete Format ist udev; es ist anders, wenn Sie devfsoder eine andere Form der Geräteverwaltung verwenden).

Im Einzelbenutzermodus /etc/securettywird nicht abgefragt, da suloginanstelle von verwendet wird login( suloginweitere Informationen finden Sie auf der Manpage). Sie können auch das für jeden Runlevel verwendete Anmeldeprogramm ändern /etc/inittab.

Beachten Sie, dass Sie nicht verwenden sollten, um Anmeldungen über /etc/securettyzu steuern . Ändern Sie dazu den Wert von in . Standardmäßig ist nicht für „consult“ (und daher ) konfiguriert. Sie könnten eine Zeile hinzufügen, um dies zu tun, aber das tatsächliche wird erst einige Zeit nach der Phase festgelegt , sodass es nicht wie erwartet funktioniert. Während der Phasen und – zumindest für – ist ( ) fest auf codiert .rootsshPermitRootLogin/etc/ssh/sshd_config/etc/pam.d/sshdpam_securetty/etc/securettysshttyauthauthaccountopensshttyPAM_TTYssh

Die obige Antwort basiert auf RHEL 5.5. Vieles davon trifft auf aktuelle Distributionen anderer *nix-Systeme zu, es gibt jedoch Unterschiede, von denen ich einige, aber nicht alle, festgestellt habe.

Ich habe dies selbst beantwortet, da die anderen Antworten unvollständig und/oder ungenau waren. Viele andere Foren, Blogs usw. im Internet enthalten ebenfalls ungenaue und unvollständige Informationen zu diesem Thema, daher habe ich umfangreiche Recherchen und Tests durchgeführt, um die richtigen Details zu erhalten. Wenn etwas, was ich gesagt habe, falsch ist, lassen Sie es mich bitte wissen.

Quellen:

Answer

/etc/securettywird vom pam_securettyModul konsultiert, um zu entscheiden, von welchen virtuellen Terminals ( tty*) rootaus eine Anmeldung zulässig ist.

In der Vergangenheit /etc/securettywurde von Programmen wie direkt konsultiert login, aber jetzt übernimmt PAM das. Änderungen an /etc/securettywirken sich daher auf alles aus, was PAM mit einer Konfigurationsdatei verwendet, die verwendet pam_securetty.so. Daher loginist standardmäßig nur das Programm betroffen.

/etc/pam.d/loginwird für lokale Anmeldungen und /etc/pam.d/remotefür Remote-Anmeldungen (wie Telnet) verwendet.

Die wichtigsten Eintragstypen und ihre Auswirkungen sind wie folgt:

Wenn /etc/securettynicht vorhanden, rootist die Anmeldung von jedem beliebigentty
Wenn /etc/securettyvorhanden und leer ist, rootwird der Zugriff auf den Einzelbenutzermodus oder auf Programme beschränkt, die nicht durch pam_securetty(d. h su. , sudo, ssh, scp, sftp) beschränkt sind.
devfsWenn Sie (ein veraltetes Dateisystem zur Handhabung ) verwenden /dev, ermöglicht das Hinzufügen von Einträgen des Formulars vc/[0-9]*die Root-Anmeldung von der angegebenen virtuellen Konsolennummer.
udevWenn Sie (für die dynamische Geräteverwaltung und als Ersatz für ) verwenden devfs, ermöglicht das Hinzufügen von Einträgen des Formulars tty[0-9]*die Root-Anmeldung von der angegebenen virtuellen Konsolennummer.
Das Auflisten consolein /etc/securettyhat normalerweise keinen Effekt, da es auf die aktuelle Konsole verweist und normalerweise nur als Dateiname im Einzelbenutzermodus /dev/consoleverwendet wird , der nicht betroffen ist vontty/etc/securetty
Das Hinzufügen von Einträgen wie pts/[0-9]*erlaubt es Programmen, die Pseudoterminals ( pty) verwenden, pam_securettysich anzumelden, rootvorausgesetzt, dass der zugewiesene Terminal ptyeiner der aufgelisteten ist; normalerweise ist das eine gute Ideenichtdiese Einträge einzuschließen, da dies ein Sicherheitsrisiko darstellt. Dadurch könnte sich beispielsweise jemand über Telnet als Root anmelden, wobei Passwörter im Klartext gesendet werden (beachten Sie, dass dies pts/[0-9]*das in RHEL 5.5 verwendete Format ist udev; es ist anders, wenn Sie devfsoder eine andere Form der Geräteverwaltung verwenden).

Im Einzelbenutzermodus /etc/securettywird nicht abgefragt, da suloginanstelle von verwendet wird login( suloginweitere Informationen finden Sie auf der Manpage). Sie können auch das für jeden Runlevel verwendete Anmeldeprogramm ändern /etc/inittab.

Beachten Sie, dass Sie nicht verwenden sollten, um Anmeldungen über /etc/securettyzu steuern . Ändern Sie dazu den Wert von in . Standardmäßig ist nicht für „consult“ (und daher ) konfiguriert. Sie könnten eine Zeile hinzufügen, um dies zu tun, aber das tatsächliche wird erst einige Zeit nach der Phase festgelegt , sodass es nicht wie erwartet funktioniert. Während der Phasen und – zumindest für – ist ( ) fest auf codiert .rootsshPermitRootLogin/etc/ssh/sshd_config/etc/pam.d/sshdpam_securetty/etc/securettysshttyauthauthaccountopensshttyPAM_TTYssh

Die obige Antwort basiert auf RHEL 5.5. Vieles davon trifft auf aktuelle Distributionen anderer *nix-Systeme zu, es gibt jedoch Unterschiede, von denen ich einige, aber nicht alle, festgestellt habe.

Ich habe dies selbst beantwortet, da die anderen Antworten unvollständig und/oder ungenau waren. Viele andere Foren, Blogs usw. im Internet enthalten ebenfalls ungenaue und unvollständige Informationen zu diesem Thema, daher habe ich umfangreiche Recherchen und Tests durchgeführt, um die richtigen Details zu erhalten. Wenn etwas, was ich gesagt habe, falsch ist, lassen Sie es mich bitte wissen.

Quellen:

Question 2

vc/Xund ttyXsind Synonyme: verschiedene Pfade zu denselben Geräten. Der Sinn der Redundanz besteht darin, verschiedene Fälle abzufangen, damit Sie nicht ausgesperrt werden.

Traditionell login(und möglicherweise auch getty, ich kann mich nicht mehr genau erinnern) würde ich Anmeldungen auf nicht aufgelisteten Terminals prüfen /etc/securettyund verweigern . Auf modernen Systemen gibt es andere Möglichkeiten, dies zu tun, und auch andere Sicherheitsmaßnahmen. Sehen Sie sich den Inhalt von an (der auch die Funktionalität von behandelt und von der Manpage empfohlen wird ) und auch , wo Sie das Verhalten dieser Funktion steuern können.root/etc/login.defssecurettysecuretty(5)/etc/pam.d/login

Da securettynur von geprüft wird login, sind Anmeldemöglichkeiten, die nicht verwenden login(z. B. SSH mit use_login=no, X-Display-Manager usw.), nicht betroffen.

Answer

vc/Xund ttyXsind Synonyme: verschiedene Pfade zu denselben Geräten. Der Sinn der Redundanz besteht darin, verschiedene Fälle abzufangen, damit Sie nicht ausgesperrt werden.

Traditionell login(und möglicherweise auch getty, ich kann mich nicht mehr genau erinnern) würde ich Anmeldungen auf nicht aufgelisteten Terminals prüfen /etc/securettyund verweigern . Auf modernen Systemen gibt es andere Möglichkeiten, dies zu tun, und auch andere Sicherheitsmaßnahmen. Sehen Sie sich den Inhalt von an (der auch die Funktionalität von behandelt und von der Manpage empfohlen wird ) und auch , wo Sie das Verhalten dieser Funktion steuern können.root/etc/login.defssecurettysecuretty(5)/etc/pam.d/login

Da securettynur von geprüft wird login, sind Anmeldemöglichkeiten, die nicht verwenden login(z. B. SSH mit use_login=no, X-Display-Manager usw.), nicht betroffen.

Wirkung von Einträgen in /etc/securetty

Antwort1

Antwort2

verwandte Informationen