开始讲故事
Long long ago, Linux远程访问方式有telnet、ssh两种协议;有人可能还会说vnc和rdp协议方式,后面这两种主要是可视化桌面场景下的,并非主流。
时过境迁,telnet因安全性低逐渐被禁用淘汰,最后就剩下独苗一棵ssh。使用ssh管控设备总该安全了吧!No~你不能直接使用root远程登录设备。
基于上面故事情节,我们只对sshd服务禁用root远程访问展开聊聊。禁用root远程登录的方法很多,总体而言两类:1、sshd自身提供能力;2、基于PAM模块能力。
sshd自身提供能力(最简单)
确保PermitRootLogin no被配置
~]# grep -i Root /etc/ssh/sshd_config
PermitRootLogin yes
基于PAM(Pluggable Authentication Modules)模块能力
基于PAM可以使用Modules实现相关功能,例如:pam_securetty.so或pam_listfile.so。相对简单的是pam_securetty,pam_listfile不太常用(后面我们再出一篇展开讲讲)。
centos7
1、在centos7中pam_securetty默认在/etc/pam.d/login (对telnet或控制台登录有效)中配置
~]# grep -i pam_securetty /etc/pam.d/login
auth user_unknown=ignore success=ok ignore=ignore default=bad pam_securetty.so
2、由/etc/securetty起到白名单作用,该文件不存在,则上述配置失效。
~]# ll /etc/securetty
-rw-------. 1 root root 221 Apr 1 2020 /etc/securetty
国产Linux(Anolis8)
1、默认pam包中包含pam_securetty,但,不再默认定义到/etc/pam.d/login ;/etc/securetty文件也不存在。
配置禁止root远程访问sshd
1、确保/etc/pam.d/sshd首行配置了pam_securetty.so
~]# grep -i pam_securetty /etc/pam.d/sshd
auth user_unknown=ignore success=ok ignore=ignore default=bad pam_securetty.so
2、确保/etc/securetty文件存在且为空。
总结
如果PermitRootLogin no和securetty都配置了,肯定也没毛病。如果要临时放开root远程访问就要一一拆除。securetty文件本身是登录设备白名单,不同版本操作系统下对ssh管控设备名不太一样:
~]# who
root pts/0 2024-12-04 13:48 (192.168.xx.xxx)
如上回显中pts/0就是一种终端设备:/etc/securetty值类型:①tty:终端 ②pts:伪终端 ③console:当前的控制台 ④vc:visual console虚拟控制台 ⑤vt:虚拟终端 ⑥hvc ⑦hvsi ⑧xvc等。
但是,经我测试,在Anolis8中,如果要临时允许root远程ssh,则需要配置ssh到/etc/securetty,而不是pts伪终端。