Мне нужно настроить ограничение прямого доступа root, кроме системных консолей. То есть способы telnet, ftp, SSH все запрещено. Root может войти только через консоль. Я понимаю, что мне потребуется настроить файл / etc / securetty. Я должен комментировать все tty, просто оставьте «консоль» в / etc / securetty.
Но из Google я обнаружил, что многие люди говорят, что configure / etc / securetty не ограничивает способ SSH авторизоваться.
Из своего эксперимента я обнаружил, что это так. (configure / etc / securetty не ограничивает вход по SSH).
И добавляю одну строчку в /etc/pam.d/system-auth: auth required pam_securetty
Вроде root SSH логин можно запретить.
Но не могу найти причину: В чем разница между настройками pam_securetty и / etc / securetty? Кто-нибудь может мне с этим помочь? Может работать только настройка / etc / securetty? Или мне нужно одновременно настроить pam_securetty? Большое спасибо!
pam_securetty - это модуль PAM, который позволяет входить в систему с правами root только в том случае, если пользователь входит в систему на «безопасном» терминале, как определено в списке в / etc / securetty. pam_securetty также проверяет, является ли / etc / securetty простым файлом и не доступен для записи всем.
telnet и ftp call login, и у вас, вероятно, уже есть /etc/pam.d/login, включая pam_securetty