web-dev-qa-db-fra.com

Comment puis-je empêcher l'accès root à tous les ATS?

J'essaie de sécuriser l'accès root sur mes serveurs Ubuntu (exécutant 14.04 desktop et 16.04 server). J'aimerais désactiver l'accès root sur tous les TTY, à l'exception de TTY1. Je sais que cela peut être fait en éditant/etc/securetty, et en commentant tous les périphériques sauf TTY1, mais je ne suis pas sûr du Local X displays. Devrais-je les commenter aussi? Qu'en est-il du UART serial ports, Serial Mux devices, Chase serial card, Cyclades serial cards, etc., etc.

Il y a tellement de périphériques que je ne sais pas trop comment sécuriser ce fichier. Pouvez-vous me guider dans la bonne direction quant aux périphériques que je devrais désactiver pour un système en fonctionnement mais que root ne peut se connecter qu’à partir de TTY1?

3
billwithesciencefi

Je pense que vous dépensez vos efforts sur des bagatelles. Si Bad Guy peut connecter un terminal, Bad Guy peut démarrer à partir de sa clé USB.

Mais, puisque man securetty dit securetty - file which lists terminals from which root can log in, cela signifie que vous pouvez commenter tout sauf TTY1. Commenter (ou non) des lignes pour du matériel que vous n'avez pas ne fait aucune différence.

Étant donné que si vous jouez avec /etc/securetty, vous pouvez vous retrouver bloqué en dehors de votre système, vous devez tester soigneusement. Si vous avez batch ou at configuré et opérationnel, vous pouvez le faire en configurant un travail par lots root à faire ::

cp /etc/securetty /etc/securetty.original
cp /tmp/modified.securetty /etc/securetty
sleep 20m
cp /etc/securetty.original /etc/securetty

Et faites vos tests dans les 20 prochaines minutes, après quoi, l'original (fonctionnel) /etc/securetty sera restauré.

3
waltinator