QQ登录

只需一步,快速开始

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 1077|回复: 9

在线请教securetty文件问题。(已解决)

[复制链接]
发表于 2004-10-13 12:18:21 | 显示全部楼层 |阅读模式
请教securetty文件问题。
The /etc/securetty file
该文件指定了允许root登录的tty设备,/etc/securetty被/bin/login程序读取,它的
格式是一行一个被允许的名字列表,如你可以编辑/etc/securetty且注释出下面的行。
tty1
#tty2
#tty3
#tty4
#tty5
#tty6
#tty7
#tty8
-意味着root仅仅被允许在tty1终端登录。
怎么在redhat as3上没得用的。我全部注掉了还能登录。
发表于 2004-10-13 12:36:23 | 显示全部楼层
/etc/pam.d/login 里面启用了 pam_securetty.so 吗?
[code:1]# cat /etc/pam.d/login
#%PAM-1.0

auth       required     /lib/security/pam_securetty.so                <-- 要有这一行才管用
auth       required     /lib/security/pam_stack.so service=system-auth
auth       required     /lib/security/pam_nologin.so

account    required     /lib/security/pam_stack.so service=system-auth

password   required     /lib/security/pam_stack.so service=system-auth

session    required     /lib/security/pam_stack.so service=system-auth
session    optional     /lib/security/pam_console.so[/code:1]
回复

使用道具 举报

 楼主| 发表于 2004-10-13 12:38:02 | 显示全部楼层
这一行注掉了。兄弟谢谢了。
回复

使用道具 举报

 楼主| 发表于 2004-10-13 12:52:59 | 显示全部楼层
#vc/1
#vc/2
#vc/3
#vc/4
#vc/5
#vc/6
#vc/7
#vc/8
#vc/9
#vc/10
#vc/11
再请教一下,我把vc注掉了,怎么远程通过telnet和ssh还能用root用户登陆哟。不知道这个vc是限制什么的。这里的console,vc,tty各代表什么类型。
回复

使用道具 举报

发表于 2004-10-13 13:04:23 | 显示全部楼层
console 是传统的“本地”控制台
tty 是传统的“终端”控制台
vc 是“虚拟”控制台

在有些 Linux 发行版里,这三个是等价的。
使用命令 tty 可以知道自己当前使用的控制台名称。

ssh 登录要限制 root 用户需要在 sshd_config 里面设置 PermitRootLogin no 。
回复

使用道具 举报

 楼主| 发表于 2004-10-13 13:17:41 | 显示全部楼层
我用w命令观察了一下图形登录的终端类型是
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU  WHAT
root     :0       -                11:59am   ?     0.00s  0.58s  /usr/bin/gnome-sessio
如果在图形界面起用一个终端是
root     pts/2    :0.0              1:07pm  9.00s  0.02s  0.02s  bash
如果远程telnet或ssh上去是
root     pts/0    server2004       12:36pm  0.00s  0.20s  0.01s  w
如果用控制台用ctrol+alt+f1是
root     tty1     -                 1:09pm  7.00s  0.04s  0.04s  -bash
不知道这里的vc是控制什么,俺知道是虚拟的意思,如果要telnet登陆不要root起用/etc/pam.d/login文件的第一行就行,ssh中按你说的方法也可以,但如果要灵活控制root从哪个终端登上来,这样做就不行了。
回复

使用道具 举报

发表于 2004-10-13 13:31:48 | 显示全部楼层
RH Linux 内核的默认配置是使用 tty 而不是 vc 。
只要想控制 root 登录,就必须启用 pam_securetty。

灵活控制从哪个终端? 你在 securetty 里面只设 tty3 试试看。

对于 telnet 登录,笼统地说只有允许和不允许。远程终端号都是顺序递增产生的虚拟号码,你能指定 telnet 的终端号吗?
回复

使用道具 举报

 楼主| 发表于 2004-10-14 12:20:49 | 显示全部楼层
我的意思是说除tty外,telnet不好控制了(telent进来是pts)。我有点跟cisco的路由器终端有点混了。不过,感谢指教。
回复

使用道具 举报

发表于 2004-10-14 12:43:05 | 显示全部楼层
就是 pts 嘛。你能指定哪个远程客户端使用固定的 pts 号码吗?
比如说,你指定 pts/0 允许 root 登录,意思也只是说第一个 telnet 的远程客户可以使用 root 登录。
回复

使用道具 举报

 楼主| 发表于 2004-10-14 12:50:28 | 显示全部楼层
yes!便于远程用root用户维护。一个管量员就可以了。(当然su也可以),好像讨论这没什么意思了。感谢。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

GMT+8, 2024-11-7 13:39 , Processed in 0.071498 second(s), 15 queries .

© 2021 Powered by Discuz! X3.5.

快速回复 返回顶部 返回列表