Telnet jako root

Přihlašování superuživatele je omezeno pouze na terminály vyjmenované v souboru /etc/securetty, obvykle jsou to konzoly 1 až 6. Pokud se opravdu potřebujete přihlašovat na dálku, zapište do tohoto souboru názvy virtuálních terminálů

0
1
...

ttyp0
ttyp1
...

V heterogenních sítích je ale takový přístup nerozumný a nebezpečný, root by se měl hlásit pouze z konzoly. Na vzdálené přihlašování je lépe všude používat tzv. bezpečný shell ssh, který veškerou komunikaci včetně posílaného hesla šifruje a jehož omezení se nastavují zvlášť, na securetty se ohled nebere. Další výhodou ssh je automatické forwardování portů pro X window. Obdobně bezpečný způsob komunikace má ještě nadstavba telnet-SSL.

Některé distribuce (SuSE) mají vlastní systém ochrany počítače i před jeho vlastním správcem a za jistých nastavení zadaných již při instalaci nedovolují rootovi přihlášení vůbec.

Jak se dá problém ještě obejít:

• Na pamifikovaných systémech (všechny běžné distribuce) se dá kontrola securetty v souboru /etc/pam.d/login vypnout, tj. zakomentovat nebo vhodně změnit řádek

  auth       required     /lib/security/pam_securetty.so
  

• Běžný uživatel se obvykle může přihlásit odkudkoliv (samozřejmě také pomocí ssh nebo telnet-ssl), použije-li příkaz su, získá práva superuživatele pro většinu příkazů; lze také nakonfigurovat sudo pro privilegované provádění pouze některých operací.

Další informace:

• securetty (5), su (1), sudo (8), ssh (1)
• /etc/pam.d, /usr/share/doc/pam
• archív české linuxové konference

Souvisící problémy:

• Terminály do windows: pro přihlašování přes telnet, ssh z prostředí windows
• Přihlašování superuživatele přes ftp:
  nastavuje se zvlášť, v souboru /etc/ftpusers jsou vyjmenováni uživatelé, kterým není dovoleno přihlašování přes ftp, root je obvykle mezi nimi a není vhodné toto nastavení měnit. Navíc vstupuje do hry soubor /etc/shells, pokud není uživatelův shell vyjmenován v tomto souboru, není přihlášení přes ftp opět dovoleno.