Настройка файла (etc(securetty

Файл /etc/securetty определяет, с каких терминалов суперпользователь может регистрироваться в системе. По умолчанию файл сконфигурирован таким образом, что суперпользователю доступны только аппаратная консоль (монитор, непосредственно подключенный к системе, — /dev/ttyl) и виртуальные консоли (/dev/tty2tty8). Попытки зарегистрироваться через другие устройства будут проигнорированы — придется регистрироваться в системе как обычный пользователь, а затем выполнять команду su. Стандартный вид файла /etc/securetty в Red Hat 7.2 таков:

cat /etc/securetty

Мини-картинка

ttyl

tty2

tty3

tty4

tty5

tty6

tty7

tty8

Как видите, в нем нет записей вида pts, т.е. привилегированный доступ по сети запрещен. Можно еще больше ограничить доступ, запретив виртуальные консоли и оставив только аппаратную консоль (ttyl) .

Если файл /etc/securetty существует, но пуст, суперпользоватсль вообще не сможет напрямую зарегистрироваться в системе. Ему придется пользоваться командой su или sudo, что представляет собой гораздо более безопасный подход.

Предупреждение

Если файл /etc/securetty не существует, суперпользователь сможет регистрироваться в системе откуда угодно! Таким образом, следует всегда проверять наличие этого файла.

Управление группами пользователей

При описании файла /etc/login. defs уже говорилось о том, что, когда в Red Hat 7.2 создается новая учетная запись (с помощью команды useradd или одной из графических утилит), идентификатор группы (GID) выбирается автоматически. При этом оказывается, что он совпадает с идентификатором пользователя (UID). Такие группы называются приватными.

Преимущество приватных групп состоит в том, что каждый пользователь является членом своей собственной группы. В этом случае можно задать значение umask равным 007, а не 027 .

Мини-картинка

Другой особенностью Red Hat 7.2 является то, что можно настроить пароли для групп и создать файл групповых скрытых паролей — /etc/gshadow. Это делается с помощью команды grpconv, которая аналогична команде pwconv. Групповой пароль создастся командой gpasswd. Она доступна супсрпользоватслю, который может назначить одного из членов группы ее администратором. Члены группы могут пользоваться командой newgrp с идентификатором группы в качестве аргумента, не вводя пароль. Остальные пользователи смогут присвоить себе идентификатор группы, только зная ее пароль. Это менее безопасно, чем вообще отказаться от групповых паролей. В последнем случае команда newgrp не позволит пользователю присвоить себе идентификатор группы, которой он не принадлежит. Впрочем, если групповые пароли зачемто необходимы, не переживайте. Суперпользоватсль может выполнить команду gpasswd R для всех системных и других важных групп, что аналогично запрету применять к ним команду newgrp (этот запрет не касается самого суперпользоватсля, естественно).

Соблюдайте осторожность, создавая группы пользователей. Убедитесь в том, что группа не относится к числу системных (идентификатор лежит в интервале от 100 до 60001) и что в нее включаются файлы и каталоги, находящиеся в несистемных разделах (т.е. не /, /usr, /var и т.д.). Если создаются групповые пароли, желательно запретить команду newgrp как минимум для всех системных групп (с помощью команды gpasswd R).


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок