forum.opennet.ru - "как удалить /dev/tty* ?" (9)

"как удалить /dev/tty* ?"

Форум Информационная безопасность (Безопасность системы)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

*"как удалить /dev/tty ?"**	–1 +/–
Сообщение от LehaValov (?), 16-Ноя-15, 06:08
Приветствую всех, требуется полностью закрыть возможность залогинится через /dev/tty* touch /etc/nologin и редактирование /etc/securetty всеравно дает root-у возможность загрузится в rc1.d удаление /dev/tty* полностью, дает тот результат что нужен, но при перезагрузке они пересоздаются ядром. пробовал написать в /etc/init.d/rc.local rm -f /dev/tty* , но не работает. подскажите где прописать rm -f /dev/tty* чтобы оно сработало при загрузке в в любом уровне запуска? или как закрыть логин другим способом?
Ответить \| Правка \| Cообщить модератору

Оглавление

rc1 grub password, админ (?), 07:46 , 16-Ноя-15, (1)
вы когда нибудь про файл etc ttys слышали что в нем можно для каждого tty ука, eRIC (ok), 08:13 , 16-Ноя-15, (2) +2

прошу прощения, долго гуглил и эксперементировал, забыл сказать что ОС debian8 ,, LehaValov (?), 01:05 , 17-Ноя-15, (3) –1

потому что Debian перешел на systemd и отключить консоли tty можно в файле в фай, eRIC (ok), 08:38 , 17-Ноя-15, (4) +1

eRIC, благодарю за поддержку, но не получается ничего прочитал топик, редактир, LehaValov (?), 00:38 , 18-Ноя-15, (5)

глянул на одной из бубунт машин, там все через systemd зарулили не фанат systemd, eRIC (ok), 12:43 , 18-Ноя-15, (6) +2

в lib systemd systemпо всякому редактировал getty service и serial-getty serv, LehaValov (?), 22:39 , 19-Ноя-15, (7)

я вижу, вы еще тот параноид сервак физически у врагов находится чтоль може, eRIC (ok), 08:13 , 20-Ноя-15, (8)

да, паранойя моя зашкаливает , а сервак будет находится у тех кто должен полу, LehaValov (?), 22:01 , 20-Ноя-15, (9)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от админ (?), 16-Ноя-15, 07:46 +/–

rc1? grub + password

Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от eRIC (ok), 16-Ноя-15, 08:13 +2 +/–

> Приветствую всех, требуется полностью закрыть возможность залогинится через /dev/tty*
вы когда нибудь про файл /etc/ttys слышали? что в нем можно для каждого tty* указать вместо "secure" на "insecure" чтобы отключить подключение локально

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3

3. Сообщение от LehaValov (?), 17-Ноя-15, 01:05 –1 +/–

> вы когда нибудь про файл /etc/ttys слышали? что в нем можно для
> каждого tty* указать вместо "secure" на "insecure" чтобы отключить подключение локально
прошу прощения, долго гуглил и эксперементировал, забыл сказать что ОС debian8 , в ней нет ни /etc/ttys ни /etc/inittab...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #4

4. Сообщение от eRIC (ok), 17-Ноя-15, 08:38 +1 +/–

> прошу прощения, долго гуглил и эксперементировал, забыл сказать что ОС debian8 ,
> в ней нет ни /etc/ttys ни /etc/inittab...
потому что Debian перешел на systemd и отключить консоли tty можно в файле в файле /etc/systemd/logind.conf
http://crunchbang.org/forums/viewtopic.php?id=39757

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #5

5. Сообщение от LehaValov (?), 18-Ноя-15, 00:38 +/–

> потому что Debian перешел на systemd и отключить консоли tty можно в
> файле в файле /etc/systemd/logind.conf
> http://crunchbang.org/forums/viewtopic.php?id=39757
eRIC, благодарю за поддержку, но не получается ничего...
прочитал топик, редактировал:
/etc/default/console-setup
Строчку ACTIVE_CONSOLES="/dev/tty[1-6]" заменял на ACTIVE_CONSOLES="/dev/null" , ACTIVE_CONSOLES="" , и пробовал просто закомментить, в результате менялись шрифты o_0, тоесть результат нулевой.

/etc/systemd/logind.conf
раскомментировал строки
NAutoVTs=6
ReserveVT=6
заменил на
NAutoVTs=0
ReserveVT=0
тоже никаких изменений.
в топике сказано @OP: Disabling TTYs via /etc/logind.conf saves *no resources whatsoever*
это тоже ничего не дает.
пошел искать все связанное с tty
grep tty $(find /etс -type f)
/etc/security/access.conf раскомментировал
#Disallow console logins to all but a few accounts
-:ALL EXPECT wheel shutdown sync:LOCAL
разультата нет, тоже и для "Disallow non-root logins on tty1", результат ноль, заходит любым юзером из tty1
-: ALL : tty1 tty2 tty3 tty4 tty5 tty6
тоже не работает, зачем этот файл нужен вообще? понимаю что я не специалист но вроде черным по белому написано в начале файла "Login access control table"
других файлов где реально что-то менять не нашел...
потрачу еще времени на поиск, но если не найду то поставлю дебиан7 без системдэ и закомментирую "1:2345:respawn:/sbin/getty 38400 tty*" в /etc/inittab что ранее приводило к нужному результату.
но может кто подскажет грубый способ но действенный - как при загрузке в любом режиме удалять /dev/tty* ?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #6

6. Сообщение от eRIC (ok), 18-Ноя-15, 12:43 +2 +/–

глянул на одной из бубунт машин, там все через systemd зарулили(не фанат systemd) и некоторые даже используются для системы. гляньте в /lib/systemd/system и все что связано с getty.* и везде ссылка на http://0pointer.de/blog/projects/serial-console.html думаю что поможет
или попробовать средствами udev удалять ненужное количество tty, которое гуляет в сети:
/etc/udev/rules.d/99-remove-tty.rules:
KERNEL=="tty[1-9]", RUN="/bin/rm /dev/%k", OPTIONS+="ignore_device"
которое оставляет только tty0

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #7

7. Сообщение от LehaValov (?), 19-Ноя-15, 22:39 +/–

в /lib/systemd/system
по всякому редактировал getty@.service и serial-getty@.service результата не добился, может не так редактировал...
почитал http://0pointer.de/blog/projects/serial-console.html
сменил права на 0000 для /lib/systemd/system-generators/systemd-getty-generator , опять безрезультатно...
записал в /etc/udev/rules.d/99-remove-tty.rules
KERNEL=="tty[0-99]", RUN="/bin/rm /dev/%k", OPTIONS+="ignore_device"
то что нужно, но в однопользовательском режиме рут всеравно заходит, буду разбираться в однопользовательском, что-же там происходит и как на это влиять.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #8

8. Сообщение от eRIC (ok), 20-Ноя-15, 08:13 +/–

> записал в /etc/udev/rules.d/99-remove-tty.rules
> KERNEL=="tty[0-99]", RUN="/bin/rm /dev/%k", OPTIONS+="ignore_device"
> то что нужно, но в однопользовательском режиме рут всеравно заходит, буду разбираться
> в однопользовательском, что-же там происходит и как на это влиять.
я вижу, вы еще тот параноид :) сервак физически у врагов находится чтоль? :)
может указать в /etc/inittab
su:S:wait:/sbin/sulogin #будет требовать пароль root'а

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #9

9. Сообщение от LehaValov (?), 20-Ноя-15, 22:01 +/–

> я вижу, вы еще тот параноид :) сервак физически у врагов находится
> чтоль? :)
да, паранойя моя зашкаливает :) , а сервак будет находится у тех кто должен получать оплату за его бесперебойную работу и при этом не совать в него любопытный нос :), вот и стараюсь это реализовать :)

> может указать в /etc/inittab
> su:S:wait:/sbin/sulogin #будет требовать пароль root'а
если дебиан7 поставлю - так и сделаю, а пока буду искать решение в свободное время :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от админ (?), 16-Ноя-15, 07:46	+/–
rc1? grub + password
Ответить \| Правка \| Наверх \| Cообщить модератору

2. Сообщение от eRIC (ok), 16-Ноя-15, 08:13	+2 +/–
> Приветствую всех, требуется полностью закрыть возможность залогинится через /dev/tty* вы когда нибудь про файл /etc/ttys слышали? что в нем можно для каждого tty* указать вместо "secure" на "insecure" чтобы отключить подключение локально
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #3

3. Сообщение от LehaValov (?), 17-Ноя-15, 01:05	–1 +/–
> вы когда нибудь про файл /etc/ttys слышали? что в нем можно для > каждого tty* указать вместо "secure" на "insecure" чтобы отключить подключение локально прошу прощения, долго гуглил и эксперементировал, забыл сказать что ОС debian8 , в ней нет ни /etc/ttys ни /etc/inittab...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #4

4. Сообщение от eRIC (ok), 17-Ноя-15, 08:38	+1 +/–
> прошу прощения, долго гуглил и эксперементировал, забыл сказать что ОС debian8 , > в ней нет ни /etc/ttys ни /etc/inittab... потому что Debian перешел на systemd и отключить консоли tty можно в файле в файле /etc/systemd/logind.conf http://crunchbang.org/forums/viewtopic.php?id=39757
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3 Ответы: #5

5. Сообщение от LehaValov (?), 18-Ноя-15, 00:38	+/–
> потому что Debian перешел на systemd и отключить консоли tty можно в > файле в файле /etc/systemd/logind.conf > http://crunchbang.org/forums/viewtopic.php?id=39757 eRIC, благодарю за поддержку, но не получается ничего... прочитал топик, редактировал: /etc/default/console-setup Строчку ACTIVE_CONSOLES="/dev/tty[1-6]" заменял на ACTIVE_CONSOLES="/dev/null" , ACTIVE_CONSOLES="" , и пробовал просто закомментить, в результате менялись шрифты o_0, тоесть результат нулевой. /etc/systemd/logind.conf раскомментировал строки NAutoVTs=6 ReserveVT=6 заменил на NAutoVTs=0 ReserveVT=0 тоже никаких изменений. в топике сказано @OP: Disabling TTYs via /etc/logind.conf saves no resources whatsoever это тоже ничего не дает. пошел искать все связанное с tty grep tty $(find /etс -type f) /etc/security/access.conf раскомментировал #Disallow console logins to all but a few accounts -:ALL EXPECT wheel shutdown sync:LOCAL разультата нет, тоже и для "Disallow non-root logins on tty1", результат ноль, заходит любым юзером из tty1 -: ALL : tty1 tty2 tty3 tty4 tty5 tty6 тоже не работает, зачем этот файл нужен вообще? понимаю что я не специалист но вроде черным по белому написано в начале файла "Login access control table" других файлов где реально что-то менять не нашел... потрачу еще времени на поиск, но если не найду то поставлю дебиан7 без системдэ и закомментирую "1:2345:respawn:/sbin/getty 38400 tty" в /etc/inittab что ранее приводило к нужному результату. но может кто подскажет грубый способ но действенный - как при загрузке в любом режиме удалять /dev/tty ?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4 Ответы: #6

6. Сообщение от eRIC (ok), 18-Ноя-15, 12:43	+2 +/–
глянул на одной из бубунт машин, там все через systemd зарулили(не фанат systemd) и некоторые даже используются для системы. гляньте в /lib/systemd/system и все что связано с getty.* и везде ссылка на http://0pointer.de/blog/projects/serial-console.html думаю что поможет или попробовать средствами udev удалять ненужное количество tty, которое гуляет в сети: /etc/udev/rules.d/99-remove-tty.rules: KERNEL=="tty[1-9]", RUN="/bin/rm /dev/%k", OPTIONS+="ignore_device" которое оставляет только tty0
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #7

7. Сообщение от LehaValov (?), 19-Ноя-15, 22:39	+/–
в /lib/systemd/system по всякому редактировал getty@.service и serial-getty@.service результата не добился, может не так редактировал... почитал http://0pointer.de/blog/projects/serial-console.html сменил права на 0000 для /lib/systemd/system-generators/systemd-getty-generator , опять безрезультатно... записал в /etc/udev/rules.d/99-remove-tty.rules KERNEL=="tty[0-99]", RUN="/bin/rm /dev/%k", OPTIONS+="ignore_device" то что нужно, но в однопользовательском режиме рут всеравно заходит, буду разбираться в однопользовательском, что-же там происходит и как на это влиять.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6 Ответы: #8

8. Сообщение от eRIC (ok), 20-Ноя-15, 08:13	+/–
> записал в /etc/udev/rules.d/99-remove-tty.rules > KERNEL=="tty[0-99]", RUN="/bin/rm /dev/%k", OPTIONS+="ignore_device" > то что нужно, но в однопользовательском режиме рут всеравно заходит, буду разбираться > в однопользовательском, что-же там происходит и как на это влиять. я вижу, вы еще тот параноид :) сервак физически у врагов находится чтоль? :) может указать в /etc/inittab su:S:wait:/sbin/sulogin #будет требовать пароль root'а
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #9

9. Сообщение от LehaValov (?), 20-Ноя-15, 22:01	+/–
> я вижу, вы еще тот параноид :) сервак физически у врагов находится > чтоль? :) да, паранойя моя зашкаливает :) , а сервак будет находится у тех кто должен получать оплату за его бесперебойную работу и при этом не совать в него любопытный нос :), вот и стараюсь это реализовать :) > может указать в /etc/inittab > su:S:wait:/sbin/sulogin #будет требовать пароль root'а если дебиан7 поставлю - так и сделаю, а пока буду искать решение в свободное время :)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8