linux的root使用者是否能Telnet

小白今天在Suse上試了一下root使用者登上Telnet檔案，結論如下：

前提：telnet服務已經開啟，23號埠正在監聽，如下：

linux101:/etc/pam.d # lsof -i:23
COMMAND  PID USER   FD   TYPE    DEVICE SIZE/OFF NODE NAME
xinetd  5433 root    5u  IPv4 117931557      0t0  TCP *:telnet (LISTEN)

1. root使用者能夠Telnet：

 在/etc/pam.d/login中

 #%PAM-1.0
 auth     requisite      pam_nologin.so
 #auth     [user_unknown=ignore success=ok ignore=ignore auth_err=die default=bad]        pam_securetty.so  或者 #auth     required       pam_securetty.so 被註釋掉，或者不存在這一行
 auth     include        common-auth
 account  include        common-account
 password include        common-password
 session  required       pam_loginuid.so
 session  include        common-session
 session  required       pam_lastlog.so  nowtmp
 session  optional       pam_mail.so standard
 session  optional       pam_ck_connector.so
 session required pam_limits.so
 session required /lib64/security/pam_limits.so

2. root使用者不能Telnet ==存在/etc/securetty檔案+上面標紅處沒有被註釋掉

a) /etc/securetty存在是首要條件，不存在，root使用者一定會telnet

b) /etc/securetty存在，但若在/etc/securetty中配置了一些終端名稱（相當於白名單，VIP使用者），如：pts/1,pts/2,pts/3...這樣的，就算標紅處沒有註釋掉，root可以Telnet

c) /etc/securetty為空檔案，則什麼使用者，什麼裝置都不能以root登入telnet。

d）root使用者雖不能登telnet，但可以曲線救國：先普通使用者登telnet，再su - root切換到root。