Product SiteDocumentation Site

4.7. Restreindre les accès aux consoles

Certaines règles de sécurité peuvent forcer les administrateurs à se connecter au système sur une console avec leur identifiant et mot de passe puis devenir superutilisateur (avec su ou sudo). Cette règle est appliquée sous Debian en éditant les fichiers /etc/pam.d/login et /etc/securetty lors de l'utilisation de PAM :
/etc/pam.d/login [17] active le module pam_securetty.so. Ce module, une fois correctement configuré, interdira la demande de mot de passe quand le superutilisateur essaye de se connecter sur une console non sécurisée, rejetant l'accès à cet utilisateur ;
securetty[18] en ajoutant ou supprimant les terminaux depuis lesquels les accès du superutilisateur seront autorisés. Si vous voulez n'autoriser que les accès locaux en console, vous avez alors besoin de console, ttyX[19] et vc/X (si vous utilisez des périphériques devfs), vous pouvez vouloir ajouter également ttySX[20] si vous utilisez une console série pour l'accès local (où X est un nombre entier, vous pouvez vouloir avoir plusieurs instances). La configuration par défaut pour Wheezy [21] inclut de nombreux périphériques tty, ports séries, consoles vc ainsi que le serveur X et le périphérique console. Vous pouvez ajuster cela en toute sécurité si vous n'utilisez pas tant de consoles. Vous pouvez confirmer les consoles virtuelles et périphériques tty disponibles en vérifiant /etc/inittab [22]. Pour plus d'informations sur les périphériques de terminal, veuillez consulter le http://tldp.org/HOWTO/Text-Terminal-HOWTO-6.html (ou la http://www.traduc.org/docs/HOWTO/vf/Text-Terminal-HOWTO.html).
En cas d'utilisation de PAM d'autres changements au processus de login, qui peuvent inclure des restrictions aux utilisateurs et groupes à certains moments, peuvent être configurés dans /etc/pam.d/login. Une fonctionnalité intéressante qui peut être désactivée est la possibilité de se connecter avec des mots de passe nuls (vides). Cette fonctionnalité peut être limitée en enlevant nullok de la ligne:
auth       required   pam_unix.so nullok


[17] Dans les versions précédentes de Debian, il fallait modifier login.defs, et utiliser la variable CONSOLE qui définit un fichier ou une liste de terminaux sur lesquels la connexion du superutilisateur est autorisée.
[18] Le fichier /etc/securetty est un fichier de configuration qui appartient au paquet login.
[19] Ou ttyvX pour GNU/FreeBSD et ttyE0 pour GNU/KNetBSD.
[20] Ou comX pour GNU/Hurd, cuaaX pour GNU/FreeBSD et ttyXX pour GNU/KNetBSD.
[21] La configuration par défaut dans Woody inclut 12consoles locales tty et vc, ainsi que le périphérique console, mais ne permet pas les connexions distantes. Dans Sarge, la configuration par défaut fournit 64consoles pour les consoles tty et vc.
[22] Recherchez les appels getty.