pam_securetty的使用

说明:
pam_securetty            现在root在特定的设备上登录,对普通用户无效。

[root@station203 pam.d]# uname -a
Linux station203.example.com 2.6.18-53.el5 #1 SMP Wed Oct 10 16:34:02 EDT 2007 i686 i686 i386 GNU/Linux

首先先man一下再说。
[root@station203 security]# man pam_securetty
...........省略..............


pam_securetty的配置文件默认是:/etc/securetty
格式很简单,一行就一个设备号。


[root@station203 pam.d]# vim login          

auth       include      system-auth
auth  required         pam_securetty.so        ## 添加下面这两句
auth  required      pam_unix.so


[root@station203 pam.d]# vim /etc/securetty         ## 注销掉tty1、tty2、tty3
#tty1
#tty2
#tty3


测试:
root在tty1登陆失败
在tty4登陆成功
用root在远程ssh登陆成功。


在root不能登陆的tty上可以使用普通用户登陆后,在su -切换到root。




[root@station203 pam.d]# vim system-auth        ## 添加下面的行
auth  required     pam_securetty.so


测试:使用root在远程登录失败。
pam的sshd模块用了system-auth配置文件,所以上面的pam_securetty也对sshd起作用了。


这种方法在一定程度上可以增加系统的安全性。