The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"как удалить /dev/tty*  ?"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Безопасность системы)
Изначальное сообщение [ Отслеживать ]

"как удалить /dev/tty*  ?"  –1 +/
Сообщение от LehaValovemail (?), 16-Ноя-15, 06:08 
Приветствую всех, требуется полностью закрыть возможность залогинится через /dev/tty*

touch /etc/nologin и редактирование /etc/securetty всеравно дает root-у возможность загрузится в rc1.d

удаление /dev/tty* полностью, дает тот результат что нужен, но при перезагрузке они пересоздаются ядром.

пробовал написать в /etc/init.d/rc.local   rm -f /dev/tty* , но не работает.

подскажите где прописать rm -f /dev/tty* чтобы оно сработало при загрузке в в любом уровне запуска? или как закрыть логин другим способом?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "как удалить /dev/tty*  ?"  +/
Сообщение от админ (?), 16-Ноя-15, 07:46 
rc1? grub + password

Ответить | Правка | Наверх | Cообщить модератору

2. "как удалить /dev/tty*  ?"  +2 +/
Сообщение от eRIC (ok), 16-Ноя-15, 08:13 
> Приветствую всех, требуется полностью закрыть возможность залогинится через /dev/tty*

вы когда нибудь про файл /etc/ttys слышали? что в нем можно для каждого tty* указать вместо "secure" на "insecure" чтобы отключить подключение локально


Ответить | Правка | Наверх | Cообщить модератору

3. "как удалить /dev/tty*  ?"  –1 +/
Сообщение от LehaValov (?), 17-Ноя-15, 01:05 
> вы когда нибудь про файл /etc/ttys слышали? что в нем можно для
> каждого tty* указать вместо "secure" на "insecure" чтобы отключить подключение локально

прошу прощения, долго гуглил и эксперементировал, забыл сказать что ОС debian8 , в ней нет ни /etc/ttys ни /etc/inittab...

Ответить | Правка | Наверх | Cообщить модератору

4. "как удалить /dev/tty*  ?"  +1 +/
Сообщение от eRIC (ok), 17-Ноя-15, 08:38 
> прошу прощения, долго гуглил и эксперементировал, забыл сказать что ОС debian8 ,
> в ней нет ни /etc/ttys ни /etc/inittab...

потому что Debian перешел на systemd и отключить консоли tty можно в файле в файле /etc/systemd/logind.conf
http://crunchbang.org/forums/viewtopic.php?id=39757


Ответить | Правка | Наверх | Cообщить модератору

5. "как удалить /dev/tty*  ?"  +/
Сообщение от LehaValov (?), 18-Ноя-15, 00:38 
> потому что Debian перешел на systemd и отключить консоли tty можно в
> файле в файле /etc/systemd/logind.conf
> http://crunchbang.org/forums/viewtopic.php?id=39757

eRIC, благодарю за поддержку, но не получается ничего...

прочитал топик, редактировал:
/etc/default/console-setup

Строчку ACTIVE_CONSOLES="/dev/tty[1-6]" заменял на ACTIVE_CONSOLES="/dev/null" , ACTIVE_CONSOLES="" , и пробовал просто закомментить, в результате менялись шрифты o_0, тоесть результат нулевой.


/etc/systemd/logind.conf
раскомментировал строки
NAutoVTs=6
ReserveVT=6

заменил на

NAutoVTs=0
ReserveVT=0

тоже никаких изменений.

в топике сказано @OP: Disabling TTYs via /etc/logind.conf saves *no resources whatsoever*
это тоже ничего не дает.

пошел искать все связанное с tty

grep tty $(find /etс -type f)

/etc/security/access.conf раскомментировал
#Disallow console logins to all but a few accounts
-:ALL EXPECT wheel shutdown sync:LOCAL

разультата нет, тоже и для "Disallow non-root logins on tty1", результат ноль, заходит любым юзером из tty1

-: ALL : tty1 tty2 tty3 tty4 tty5 tty6
тоже не работает, зачем этот файл нужен вообще? понимаю что я не специалист но вроде черным по белому написано в начале файла "Login access control table"

других файлов где реально что-то менять не нашел...

потрачу еще времени на поиск, но если не найду то поставлю дебиан7 без системдэ и закомментирую "1:2345:respawn:/sbin/getty 38400 tty*" в /etc/inittab что ранее приводило к нужному результату.

но может кто подскажет грубый способ но действенный - как при загрузке в любом режиме удалять /dev/tty* ?

Ответить | Правка | Наверх | Cообщить модератору

6. "как удалить /dev/tty*  ?"  +2 +/
Сообщение от eRIC (ok), 18-Ноя-15, 12:43 
глянул на одной из бубунт машин, там все через systemd зарулили(не фанат systemd) и некоторые даже используются для системы. гляньте в /lib/systemd/system и все что связано с getty.* и везде ссылка на http://0pointer.de/blog/projects/serial-console.html думаю что поможет

или попробовать средствами udev удалять ненужное количество tty, которое гуляет в сети:

/etc/udev/rules.d/99-remove-tty.rules:

KERNEL=="tty[1-9]", RUN="/bin/rm /dev/%k", OPTIONS+="ignore_device"

которое оставляет только tty0

Ответить | Правка | Наверх | Cообщить модератору

7. "как удалить /dev/tty*  ?"  +/
Сообщение от LehaValov (?), 19-Ноя-15, 22:39 
в /lib/systemd/system

по всякому редактировал getty@.service и serial-getty@.service результата не добился, может не так редактировал...

почитал http://0pointer.de/blog/projects/serial-console.html

сменил права на 0000 для /lib/systemd/system-generators/systemd-getty-generator , опять безрезультатно...

записал в /etc/udev/rules.d/99-remove-tty.rules

KERNEL=="tty[0-99]", RUN="/bin/rm /dev/%k", OPTIONS+="ignore_device"

то что нужно, но в однопользовательском режиме рут всеравно заходит, буду разбираться в однопользовательском, что-же там происходит и как на это влиять.


Ответить | Правка | Наверх | Cообщить модератору

8. "как удалить /dev/tty*  ?"  +/
Сообщение от eRIC (ok), 20-Ноя-15, 08:13 
> записал в /etc/udev/rules.d/99-remove-tty.rules
> KERNEL=="tty[0-99]", RUN="/bin/rm /dev/%k", OPTIONS+="ignore_device"
> то что нужно, но в однопользовательском режиме рут всеравно заходит, буду разбираться
> в однопользовательском, что-же там происходит и как на это влиять.

я вижу, вы еще тот параноид :) сервак физически у врагов находится чтоль? :)

может указать в /etc/inittab
su:S:wait:/sbin/sulogin #будет требовать пароль root'а


Ответить | Правка | Наверх | Cообщить модератору

9. "как удалить /dev/tty*  ?"  +/
Сообщение от LehaValov (?), 20-Ноя-15, 22:01 
> я вижу, вы еще тот параноид :) сервак физически у врагов находится
> чтоль? :)

да, паранойя моя зашкаливает :) , а сервак будет находится у тех кто должен получать оплату за его бесперебойную работу и при этом не совать в него любопытный нос :), вот и стараюсь это реализовать :)


> может указать в /etc/inittab
> su:S:wait:/sbin/sulogin #будет требовать пароль root'а

если дебиан7 поставлю - так и сделаю, а пока буду искать решение в свободное время :)


Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру