Настройка файла (etc(securetty

Файл /etc/securetty определяет, с каких терминалов суперпользователь может регистрироваться в системе. По умолчанию файл сконфигурирован таким образом, что суперпользователю доступны только аппаратная консоль (монитор, непосредственно подключенный к системе, — /dev/ttyl) и виртуальные консоли (/dev/tty2tty8). Попытки зарегистрироваться через другие устройства будут проигнорированы — придется регистрироваться в системе как обычный пользователь, а затем выполнять команду su. Стандартный вид файла /etc/securetty в Red Hat 7.2 таков:

cat /etc/securetty

Мини-картинка

ttyl

tty2

tty3

tty4

tty5

tty6

tty7

tty8

Как видите, в нем нет записей вида pts, т.е. привилегированный доступ по сети запрещен. Можно еще больше ограничить доступ, запретив виртуальные консоли и оставив только аппаратную консоль (ttyl) .

Если файл /etc/securetty существует, но пуст, суперпользоватсль вообще не сможет напрямую зарегистрироваться в системе. Ему придется пользоваться командой su или sudo, что представляет собой гораздо более безопасный подход.

Предупреждение

Если файл /etc/securetty не существует, суперпользователь сможет регистрироваться в системе откуда угодно! Таким образом, следует всегда проверять наличие этого файла.

Управление группами пользователей

При описании файла /etc/login. defs уже говорилось о том, что, когда в Red Hat 7.2 создается новая учетная запись (с помощью команды useradd или одной из графических утилит), идентификатор группы (GID) выбирается автоматически. При этом оказывается, что он совпадает с идентификатором пользователя (UID). Такие группы называются приватными.

Преимущество приватных групп состоит в том, что каждый пользователь является членом своей собственной группы. В этом случае можно задать значение umask равным 007, а не 027 .

Мини-картинка

Другой особенностью Red Hat 7.2 является то, что можно настроить пароли для групп и создать файл групповых скрытых паролей — /etc/gshadow. Это делается с помощью команды grpconv, которая аналогична команде pwconv. Групповой пароль создастся командой gpasswd. Она доступна супсрпользоватслю, который может назначить одного из членов группы ее администратором. Члены группы могут пользоваться командой newgrp с идентификатором группы в качестве аргумента, не вводя пароль. Остальные пользователи смогут присвоить себе идентификатор группы, только зная ее пароль. Это менее безопасно, чем вообще отказаться от групповых паролей. В последнем случае команда newgrp не позволит пользователю присвоить себе идентификатор группы, которой он не принадлежит. Впрочем, если групповые пароли зачемто необходимы, не переживайте. Суперпользоватсль может выполнить команду gpasswd R для всех системных и других важных групп, что аналогично запрету применять к ним команду newgrp (этот запрет не касается самого суперпользоватсля, естественно).

Соблюдайте осторожность, создавая группы пользователей. Убедитесь в том, что группа не относится к числу системных (идентификатор лежит в интервале от 100 до 60001) и что в нее включаются файлы и каталоги, находящиеся в несистемных разделах (т.е. не /, /usr, /var и т.д.). Если создаются групповые пароли, желательно запретить команду newgrp как минимум для всех системных групп (с помощью команды gpasswd R).


скоростныой сканер
Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок