我有一台远程 Linux Debian 服务器,99.9% 的时间我都通过 ssh 远程访问。但是我知道本地终端正处于登录提示状态。我可以将其更改为什么,或者登录并在本地运行并安全地保持运行吗?对服务器的物理访问仅限于我,但最好是安全的情况。
谢谢..伊恩
答案1
我不太确定,但我猜测这是否会对您有帮助,/etc/inittab
或者查看内核启动参数。
话虽如此,我认为让这些终端保持活动状态是最有意义的。安全性通常是在排除故障/修复某些问题的能力与限制访问之间取得平衡。在这种情况下,我认为故障排除更重要。禁用终端似乎只是通过隐蔽性来实现安全性。终端受密码保护,如果有人拥有物理访问权限,他们总是可以启动到单用户模式或类似模式(尽管我猜在这种情况下您可能会收到警报)。
答案2
终端应该保持运行。如果您的 ssh 守护程序崩溃了怎么办?物理访问系统是绕过大多数安全措施的简单方法。正如 Kyle 所说,他们可以启动到单用户模式并访问系统。您可以通过在 grub 中使用引导加载程序密码来缓解这种情况,但如果有人可以物理访问您的系统,那么您的问题就更大了。
直接回答您的其他问题,听起来您只是想要一些一般的强化建议。让不必要的守护进程/服务继续运行可能会带来不必要的风险。查看您的所有服务,查看它们的作用或提供的内容,并考虑您是否需要或使用特定服务。如果不需要,请禁用它。您似乎也想关注 ssh 访问。禁用通过 ssh 进行的 root 登录,强制锁定,以便有人无法强行破解您,或者如果您有有限数量的用户访问此系统,您可以只允许那些特定用户通过 ssh 登录。
答案3
不要担心登录提示。它们是你最不需要担心的事情。在保护服务器时,确保有人无法更改启动参数并附加“init=/bin/bash”以绕过身份验证并获取 root shell。
为了防止这种情况,您可以通过阻止对引导加载程序菜单的访问来禁止对引导加载程序的任何访问。这并不理想。
更好的方法是向引导加载程序添加密码,以防止修改这些设置: http://ubuntuforums.org/showthread.php?t=7353
然后您可能还想用密码保护 BIOS。哦,既然我们这样做了,您可能应该锁定它... 不确定要采取什么措施,因为您的描述缺乏细节。