linux的root使用者是否能Telnet

lansesl2008發表於2013-12-26

小白今天在Suse上試了一下root使用者登上Telnet檔案,結論如下:

前提:telnet服務已經開啟,23號埠正在監聽,如下:

linux101:/etc/pam.d # lsof -i:23
COMMAND  PID USER   FD   TYPE    DEVICE SIZE/OFF NODE NAME
xinetd  5433 root    5u  IPv4 117931557      0t0  TCP *:telnet (LISTEN)

1. root使用者能夠Telnet:

 在/etc/pam.d/login中

 #%PAM-1.0
 auth     requisite      pam_nologin.so
 #auth     [user_unknown=ignore success=ok ignore=ignore auth_err=die default=bad]        pam_securetty.so  或者 #auth     required       pam_securetty.so 被註釋掉,或者不存在這一行
 auth     include        common-auth
 account  include        common-account
 password include        common-password
 session  required       pam_loginuid.so
 session  include        common-session
 session  required       pam_lastlog.so  nowtmp
 session  optional       pam_mail.so standard
 session  optional       pam_ck_connector.so
 session required pam_limits.so
 session required /lib64/security/pam_limits.so

2. root使用者不能Telnet ==存在/etc/securetty檔案+上面標紅處沒有被註釋掉

a) /etc/securetty存在是首要條件,不存在,root使用者一定會telnet

b) /etc/securetty存在,但若在/etc/securetty中配置了一些終端名稱(相當於白名單,VIP使用者),如:pts/1,pts/2,pts/3...這樣的,就算標紅處沒有註釋掉,root可以Telnet

c) /etc/securetty為空檔案,則什麼使用者,什麼裝置都不能以root登入telnet。

d)root使用者雖不能登telnet,但可以曲線救國:先普通使用者登telnet,再su - root切換到root。

 

相關文章