4.7. Einschränkung der Anmeldemöglichkeiten an der Konsole

Manche Sicherheitsrichtlinien können Administratoren dazu zwingen, sich erst als Benutzer mit ihrem Passwort auf dem System einzuloggen und dann Superuser zu werden (mit Su oder Sudo). Eine solche Richtlinie wird in Debian durch Bearbeitung der Dateien /etc/pam.d/login und /etc/securetty (falls Sie PAM verwenden) implementiert.

Die Datei /etc/pam.d/login In älteren Debian-Veröffentlichungen müssen Sie in der Datei login.defs die CONSOLE-Variable ändern, die eine Datei oder eine Liste von Terminals definiert, an denen sich Root anmelden darf. aktiviert das Modul pam_securetty.so. Wenn es richtig konfiguriert ist, wird Root, wenn er sich auf einer unsicheren Konsole anmelden will, nicht nach einem Passwort gefragt, sondern sein Anmeldeversuch wird abgelehnt.

In securetty^[17] entfernen Sie oder fügen Sie Terminals hinzu, auf denen sich Root anmelden darf. Falls Sie nur lokalen Zugang zur Konsole erlauben wollen, benötigen Sie console, ttyX ^[18] und vc/X (falls Sie die devfs-Schnittstelle verwenden). Sie sollten auch ttySX ^[19] hinzufügen, wenn Sie eine serielle Konsole für den lokalen Zugang verwenden (wobei X eine ganze Zahl ist; es kann wünschenswert sein, mehrere Instanzen zu verwenden). Die Standardeinstellung in Wheezy ^[20] beinhaltet viele tty-Konsolen, serielle Schnittstellen und virtuelle Konsolen sowie den X-Server und das console-Gerät. Sie können das ohne Probleme anpassen, wenn Sie nicht derartige viele Konsolen benutzen. Sie können die Anzahl der Konsolen und Schnittstellen in /etc/inittab überprüfen ^[21]. Weiterführende Informationen zu Terminal-Schnittstellen finden Sie im http://tldp.org/HOWTO/Text-Terminal-HOWTO-6.html.

Wenn Sie PAM benutzen, können Sie auch andere Änderungen am Login-Prozess, die auch Einschränkungen für einzelne Benutzer oder Gruppen zu bestimmten Zeiten enthalten können, durch Konfiguration der Datei /etc/pam.d/login vornehmen. Eine interessante Eigenschaft, die man auch abschalten kann, ist die Möglichkeit, sich mit einem leeren Passwort (Null-Passwort) anzumelden. Diese Eigenschaft kann eingeschränkt werden, indem Sie nullok aus folgender Zeile entfernen:

  auth       required   pam_unix.so nullok

^[17] Die Datei /etc/securetty ist eine Konfigurationsdatei, die zum Paket login gehört.

^[18] Oder ttyvX unter GNU/FreeBSD und ttyE0 unter GNU/KNetBSD.

^[19] Oder comX unter GNU/Hurd, cuaaX unter GNU/FreeBSD und ttyXX unter GNU/KNetBSD.

^[20] Die Standardeinstellung in Woody beinhaltet zwölf lokale tty- und virtuelle Konsolen und die console-Schnittstelle. Anmeldungen aus der Ferne sind nicht erlaubt. In Sarge stellt die Standardeinstellung 64 Konsolen für tty- und virtuelle Konsolen zu Verfügung.

^[21] Achten Sie auf die getty Einträge.