RHEL 5.5에서는 기본적으로
[deuberger@saleen trunk]$ sudo cat /etc/securetty
console
vc/1
vc/2
vc/3
vc/4
vc/5
vc/6
vc/7
vc/8
vc/9
vc/10
vc/11
tty1
tty2
tty3
tty4
tty5
tty6
tty7
tty8
tty9
tty10
tty11
console각 항목 유형( , 및 ) vc/*의 차이점은 무엇입니까 tty*? 구체적으로, 각 항목 유형을 추가하고 제거한 최종 결과는 무엇입니까?
제가 이해한 바로는 로그인 방법과 시기에 영향을 미치지만, 다른 영향도 있습니까? 어떤 항목이 있는지에 따라 언제 로그인할 수 있고 언제 로그인할 수 없나요?
편집 1
tty1-6내가 아는 것은 이것이 처음 6개의 콘솔에서 --to--를 사용하여 로그인할 수 있는지 여부에 해당한다는 것입니다 . 저는 항상 그것이 가상 콘솔이라고 생각했기 때문에 조금 혼란스럽습니다. 그리고 그것은 무엇에 해당합니까?CtrlAltF1CtrlAltF6console
감사해요.
편집 2
단일 사용자 모드에 어떤 영향이 있습니까(있는 경우)?
답변1
/etc/securetty모듈 협의를 통해 로그인 이 허용되는 pam_securetty가상 터미널( tty*) 을 결정합니다.root
예전에는 /etc/securetty프로그램을 직접 컨설팅했지만 login지금은 PAM에서 처리한다. 따라서 /etc/securettyPAM에 대한 변경 사항은 사용뿐만 아니라 사용에도 영향을 미칩니다 pam_securetty.so. 따라서 login기본적으로 프로그램만 영향을 받습니다.
/etc/pam.d/login로컬 로그인 및 /etc/pam.d/remote원격 로그인(예: Telnet)에 사용됩니다.
주요 입장 유형과 효과는 다음과 같습니다.
/etc/securetty존재하지 않는 경우root모든 로그인을 허용합니다.tty/etc/securetty존재하고 비어 있는 경우 단일 사용자 모드 또는 제한되지 않은 프로그램 (예: , , , , )root으로 액세스가 제한됩니다.pam_securettysusudosshscpsftpdevfs더 이상 사용되지 않는 파일 시스템(처리용 )을 사용하는 경우/dev양식 항목을 추가하면vc/[0-9]*지정된 가상 콘솔 번호에서 루트 로그인이 허용됩니다.udev(동적 장치 관리 및 교체용 )을 사용하는 경우devfs양식 항목을 추가하면tty[0-9]*루트가 지정된 가상 콘솔 번호에서 로그인할 수 있습니다.- 나열은 일반적으로 현재 콘솔을 가리키며 일반적으로 단일 사용자 모드에서 파일 이름 으로만 사용되며 다음의 영향을 받지 않으므로
console일반적 으로/etc/securetty효과가 없습니다./dev/consoletty/etc/securetty - 이와 같은 항목을 추가하면 할당된 터미널이 나열된 터미널 중 하나라고 가정하고 의사 터미널( )을 사용하고 로그인하는 프로그램이
pts/[0-9]*허용됩니다 .ptypam_securettyrootpty아니요이러한 항목은 보안 위험을 제공하기 때문에 포함됩니다. 예를 들어 누군가가 텔넷을 통해 루트에 로그인할 수 있게 되면 비밀번호가 일반 텍스트로 전송됩니다(이pts/[0-9]*형식은 RHEL 5.5에서 사용되는 형식입니다. 관리를 사용하는 경우). ,udev다를 것입니다).devfs
단일 사용자 모드의 경우 대신 사용되므로 /etc/securetty참조가 작성되지 않습니다 ( 자세한 내용은 매뉴얼 페이지 참조). 각 런레벨에서 사용되는 로그인 프로그램을 변경할 수도 있습니다 .suloginloginsulogin/etc/inittab
로그인을 /etc/securetty제어하는 데 를 사용해서는 안 됩니다 . 이렇게 하려면 in 의 값을 변경하십시오 . 기본적으로 문의하도록 구성되지 않았습니다 (그래서 ). 이를 위해 줄을 추가할 수 있지만 실제 값은 단계가 끝난 후 일정 시간이 지나야 설정되므로 예상대로 작동하지 않습니다. In 및 단계 - 적어도 for - ( )이 하드코딩되어 있습니다.rootsshPermitRootLogin/etc/ssh/sshd_config/etc/pam.d/sshdpam_securetty/etc/securettysshttyauthauthaccountopensshttyPAM_TTYssh
위 답변은 RHEL 5.5를 기반으로 합니다. 이 중 대부분은 다른 *nix 시스템의 현재 배포판과 관련이 있지만 차이점이 있습니다. 그 중 일부는 제가 알아차렸지만 전부는 아닙니다.
다른 답변이 불완전하거나 부정확했기 때문에 이 질문에 직접 답변했습니다. 다른 많은 온라인 포럼, 블로그 등에도 이 주제에 대한 부정확하고 불완전한 정보가 있으므로 정확한 세부 정보를 얻기 위해 광범위한 조사와 테스트를 수행했습니다. 제가 말한 것 중에 잘못된 부분이 있으면 말씀해주세요.
원천:
- http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/5/html/Deployment_Guide/ch-sec-network.html#s1-wstation-privileges
- http://www.mathematik.uni-marburg.de/local-doc/centos5/pam-0.99.6.2/html/sag-pam_securetty.html
- http://linux.die.net/man/1/login
- http://www.tldp.org/HOWTO/html_single/Text-Terminal-HOWTO/
- http://www.kernel.org/doc/Documentation/devices.txt
- http://en.wikipedia.org/wiki/Virtual_console
- http://en.wikipedia.org/wiki/Linux_console
- http://www.kernel.org/doc/man-pages/online/pages/man4/console.4.html
- http://www.unix.com/security/8527-restricting-root-login.html
- http://www.redhat.com/mirrors/LDP/HOWTO/Serial-HOWTO-11.html#ss11.3
- http://www.mathematik.uni-marburg.de/local-doc/centos5/udev-095/udev_vs_devfs
답변2
vc/X동의어 ttyX입니다. 동일한 장치에 대한 다른 경로입니다. 중복성의 목적은 상황을 포착하여 사용자를 잠그지 않도록 하는 것입니다.
전통적으로 login(아마도 getty기억은 나지 않지만) 목록에 없는 터미널에서의 로그인은 확인 /etc/securetty되어 거부되었습니다 . root최신 시스템에는 이를 수행하는 다른 방법과 기타 보안 조치가 있습니다. 해당 기능을 /etc/login.defs다루고 맨페이지에서 권장하는 콘텐츠 와 이 기능의 동작을 제어할 수 있는 콘텐츠를 확인하세요.securettysecuretty(5)/etc/pam.d/login
securetty이것은 체크만 되어 있기 때문에 login사용하지 않는 로그인 방법 login(SSH, X Display Manager 등 사용 use_login=no)은 영향을 받지 않습니다.