Вопросы Теги

Эффект записей в/etc/securetty

Это сообщение расценивает сетевые проблемы, поднятые в вопросе, не об отладке ядра.

Если Ваш Протокол связующего дерева (STP) поддержки коммутаторов, имейте в виду, что STP не может активировать порт Ethernet на переключателе в течение 6 секунд или больше в то время как STP делает это - работа. Эта задержка может запуститься за каждый раз, когда хост сбрасывает порт Ethernet на хосте, который может произойти многократно между включением питания, запросом DHCP, когда Ядро загружает сетевые драйверы и т.д. Это может вмешаться в начальные загрузки NFS для бездисковых систем, DHCP, запустить, и т.д. и вызвало много головных болей для многих системных администраторов. Для некоторых примеров посмотрите Ошибку Redhat 189795 - тайм-ауты DHCP во время Запускают, и это Руководство PXE.

Большинство высокопроизводительных коммутаторов, таких как Коммутаторы Cisco и переключатели HP ProCurve действительно поддерживает STP, и он включен для всех портов из поля.

19
28.06.2012, 16:48
2 ответа

/etc/securetty консультируется pam_securetty модулем для решения, от которых виртуальных терминалов (ttyS) корень позволяется войти в систему от. В прошлом /etc/securetty консультировался программами как вход в систему непосредственно, но теперь дескрипторами PAM это. Так изменяется на /etc/securetty будет влиять на что-либо с помощью PAM с конфигурационным файлом, который использует pam_securetty.so. Так, только программа входа в систему затронута по умолчанию. /etc/pam.d/login используется для локальных логинов и /etc/pam.d/remote используется для удаленных входов в систему (как telnet).

Основные типы записи и их влияние следующие:

  • Если /etc/securetty не существует, корню позволяют войти в систему от любого tty
  • Если /etc/securetty существуйте и пусто, корневой доступ будет ограничен однопользовательским режимом или программами, которые не ограничиваются pam_securetty (т.е. su, sudo, ssh, scp, sftp)
  • если Вы используете devfs (файловая система устаревшая для обработки/dev), добавляя, что записи формы vc / [0-9] * разрешат корневой вход в систему от данного числа виртуальной консоли
  • если Вы используете udev (для динамического управления устройствами и замены для devfs), добавляя, что записи формы tty [0-9] * разрешат корневой вход в систему от данного числа виртуальной консоли
  • при списке консоли в securetty, обычно не имеет никакого эффекта, так как/dev/console указывает на текущую консоль и обычно используется только в качестве tty имени файла в однопользовательском режиме, который незатронут /etc/securetty
  • добавление записей как pts / [0-9] * позволит программы, которые используют псевдотерминалы (имущество) и pam_securetty для входа в систему в корень, предполагающий, что выделенное имущество является одним из тех перечисленных; это обычно - хорошая идея не включать эти записи, потому что это - угроза безопасности; это позволило бы, например, кому-то входить в систему в корень через Telenet, которая отправляет, пароли в простом тексте (обратите внимание, что pts / [0-9] * является форматом для udev, который используется в RHEL 5.5; это будет отличаться при использовании devfs или некоторая другая форма управления устройствами),

Для однопользовательского режима, /etc/securetty не консультируется, потому что sulogin используется вместо входа в систему. См. sulogin страницу справочника для большего количества информации. Также можно изменить программу входа в систему, используемую в /etc/inittab для каждого runlevel.

Обратите внимание, что Вам не должен использовать /etc/securetty управлять корневыми логинами через ssh. Сделать то изменение значение PermitRootLogin в /etc/ssh/sshd_config. По умолчанию /etc/pam.d/sshd не настроен для консалтинга с pam_securetty (и поэтому /etc/securetty). Вы могли добавить строку, чтобы сделать так, но ssh не устанавливает фактический tty до когда-то после подлинного этапа, таким образом, это не работает как ожидалось. Во время автора и этапов учетной записи – по крайней мере, для openssh – tty (PAM_TTY) является hardcoded к "ssh".

Вышеупомянутый ответ основан на RHEL 5.5. Большая часть его будет принадлежать текущим дистрибутивам другого *, отклоняют системы, но существуют различия, некоторые из которых я отметил, но не все.

Я ответил на это сам, потому что другие ответы были неполными и/или неточными. Много других форумов, блоги, и т.д. онлайн имеют неточную и неполную информацию в этой теме также, таким образом, я провел обширное исследование и тестирующий, чтобы попытаться получить корректные детали. Если что-нибудь, что я сказал, неправильно, сообщите мне все же.

Источники:

34
27.01.2020, 19:45
  • 1
    +1 для того, чтобы занять время для ответа в такой глубине. Я не уверен, почему нет никакого принятого ответа здесь. Кажется, что Вы ответили на вопрос OP. Мне действительно нравится комментарий @Alexios, "vc/X и ttyX являются синонимом [ous]..." попытка –  harperville 08.02.2016, 17:23

vc/X и ttyX синонимы: различные пути к тем же устройствам. Точка дублирования должна поймать различные случаи, чтобы не заблокировать Вас.

Традиционно, login (и возможно getty, Я не могу помнить наверняка), проверил бы /etc/securetty и отклоните root логины на не включенных в список терминалах. В современных системах существуют другие способы сделать это и другие меры безопасности также. Проверьте содержание /etc/login.defs (который также покрывает securettyфункциональность и рекомендуется securetty(5) страница справочника), и также /etc/pam.d/login, где можно управлять поведением этой функции.

С тех пор securetty только проверяется login, средства входа в систему, которые не используют login (например, SSH с use_login=no, X менеджеров по оформлению, и т.д.), не затронуты.

4
27.01.2020, 19:45
  • 1
    Стоит отметить это на busybox- основанные системы это могло бы все еще быть полезным для очевидного факта что login имеет нет /etc/login.defs поддержка. –  phk 28.01.2017, 02:34

Теги

Похожие вопросы