すべてのTTYからのルートアクセスを防ぐ方法
Ubuntuサーバー(14.04デスクトップと16.04サーバーを実行)でルートアクセスを保護しようとしています。 TTY1を除くすべてのTTYでルートアクセスを無効にします。/etc/securettyを編集し、TTY1以外のすべてのデバイスをコメントアウトすることでこれができることは知っていますが、Local X displaysについてはわかりません。それらもコメントアウトする必要がありますか? UART serial ports、Serial Mux devices、Chase serial card、Cyclades serial cardsなどについてはどうでしょうか。
デバイスが非常に多いので、このファイルの保護に対処する方法がわかりません。動作中のシステムで無効にする必要があるデバイスについて正しい方向に導くことができますが、rootはTTY1からのみログインできますか?
些細なことに努力を費やしていると思います。 Bad Guyが端末を接続できる場合、Bad Guyは自分のUSBから起動できます。
しかし、man securettyはsecuretty - file which lists terminals from which root can log inと言うので、TTY1を除くすべてをコメントアウトできることを意味します。使用していないハードウェアの行をコメントアウト(または非コメント)しても違いはありません。
/etc/securettyを台無しにすると、システムからロックアウトされる可能性があるため、慎重にテストする必要があります。 batchまたはatをセットアップして実行している場合は、rootバッチジョブをセットアップして実行できます。
cp /etc/securetty /etc/securetty.original
cp /tmp/modified.securetty /etc/securetty
sleep 20m
cp /etc/securetty.original /etc/securetty
そして、次の20分でテストを実行します。その後、元の(動作している)/etc/securettyが復元されます。