Eu tenho que configurar para limitar o acesso direto à raiz, exceto os consoles do sistema. Ou seja, as formas de telnet, ftp, SSH são todas proibidas. Raiz só pode entrar através do console. Eu entendo que vai exigir que eu configure o arquivo / etc / securetty. Eu tenho que comentar todo o tty, apenas manter "console" em / etc / securetty.
Mas a partir do google, eu encontrei muitos povos disseram que configurar o / etc / securetty não limitará o caminho do login SSH .
Do meu experimento, descobri que é. (configure / etc / securetty não limitará o login SSH).
E adiciono uma linha em /etc/pam.d/system-auth:
auth required pam_securetty
Parece que o login raiz SSH pode ser proibido.
Mas não consigo encontrar o motivo: Qual é a diferença de configurar pam_securetty e / etc / securetty? Alguém pode me ajudar com isso? Apenas configurar o / etc / securetty poderia funcionar? Ou eu tenho que configurar o pam_securetty ao mesmo tempo? Muito obrigado!
pam_securetty é um módulo PAM que permite logins root somente se o usuário estiver logando em um tty "seguro", conforme definido pela listagem em / etc / securetty. O pam_securetty também verifica se o / etc / securetty é um arquivo simples e não é gravável pelo mundo.
telnet e ftp chamam login, e você provavelmente já tem /etc/pam.d/login incluindo pam_securetty