在线请教securetty文件问题。(已解决)

providence · 发表于 2004-10-13 12:18:21

请教securetty文件问题。
The /etc/securetty file
该文件指定了允许root登录的tty设备，/etc/securetty被/bin/login程序读取,它的
格式是一行一个被允许的名字列表，如你可以编辑/etc/securetty且注释出下面的行。
tty1
#tty2
#tty3
#tty4
#tty5
#tty6
#tty7
#tty8
-意味着root仅仅被允许在tty1终端登录。
怎么在redhat as3上没得用的。我全部注掉了还能登录。

dannycat · 发表于 2004-10-13 12:36:23

/etc/pam.d/login 里面启用了 pam_securetty.so 吗？
[code:1]# cat /etc/pam.d/login
#%PAM-1.0

auth    required    /lib/security/pam_securetty.so             <-- 要有这一行才管用
auth    required    /lib/security/pam_stack.so service=system-auth
auth    required    /lib/security/pam_nologin.so

account required    /lib/security/pam_stack.so service=system-auth

password required    /lib/security/pam_stack.so service=system-auth

session required    /lib/security/pam_stack.so service=system-auth
session optional    /lib/security/pam_console.so[/code:1]

providence · 发表于 2004-10-13 12:38:02

这一行注掉了。兄弟谢谢了。

providence · 发表于 2004-10-13 12:52:59

#vc/1
#vc/2
#vc/3
#vc/4
#vc/5
#vc/6
#vc/7
#vc/8
#vc/9
#vc/10
#vc/11
再请教一下，我把vc注掉了，怎么远程通过telnet和ssh还能用root用户登陆哟。不知道这个vc是限制什么的。这里的console，vc，tty各代表什么类型。

dannycat · 发表于 2004-10-13 13:04:23

console 是传统的“本地”控制台
tty 是传统的“终端”控制台
vc 是“虚拟”控制台

在有些 Linux 发行版里，这三个是等价的。
使用命令 tty 可以知道自己当前使用的控制台名称。

ssh 登录要限制 root 用户需要在 sshd_config 里面设置 PermitRootLogin no 。

providence · 发表于 2004-10-13 13:17:41

我用w命令观察了一下图形登录的终端类型是
USER    TTY    FROM             LOGIN@ IDLE JCPU PCPU  WHAT
root    :0    -             11:59am ?    0.00s  0.58s  /usr/bin/gnome-sessio
如果在图形界面起用一个终端是
root    pts/2 :0.0             1:07pm  9.00s  0.02s  0.02s  bash
如果远程telnet或ssh上去是
root    pts/0 server2004    12:36pm  0.00s  0.20s  0.01s  w
如果用控制台用ctrol+alt+f1是
root    tty1    -                1:09pm  7.00s  0.04s  0.04s  -bash
不知道这里的vc是控制什么，俺知道是虚拟的意思，如果要telnet登陆不要root起用/etc/pam.d/login文件的第一行就行，ssh中按你说的方法也可以，但如果要灵活控制root从哪个终端登上来，这样做就不行了。

dannycat · 发表于 2004-10-13 13:31:48

RH Linux 内核的默认配置是使用 tty 而不是 vc 。
只要想控制 root 登录，就必须启用 pam_securetty。

灵活控制从哪个终端？你在 securetty 里面只设 tty3 试试看。

对于 telnet 登录，笼统地说只有允许和不允许。远程终端号都是顺序递增产生的虚拟号码，你能指定 telnet 的终端号吗？

providence · 发表于 2004-10-14 12:20:49

我的意思是说除tty外，telnet不好控制了（telent进来是pts)。我有点跟cisco的路由器终端有点混了。不过，感谢指教。

dannycat · 发表于 2004-10-14 12:43:05

就是 pts 嘛。你能指定哪个远程客户端使用固定的 pts 号码吗？
比如说，你指定 pts/0 允许 root 登录，意思也只是说第一个 telnet 的远程客户可以使用 root 登录。

providence · 发表于 2004-10-14 12:50:28

yes!便于远程用root用户维护。一个管量员就可以了。（当然su也可以），好像讨论这没什么意思了。感谢。

		自动登录	找回密码
密码			注册