Linuxからユーザーサブシステムを完全に削除できますか?
人々がログインするのを防ぐことについて話すものではありません。私はログインできるシステム部分を削除することについて話しています。
その結果、オペレーティングシステムはすでに実行されているアプリケーション(Webサーバーなど)を除いてアクセスできないため、起動するとオペレーティングシステムにアクセスできなくなります。
目的は、ユーザーレベルのコマンドラインシステムが存在しないため、ユーザーレベルのコマンドラインアクセス権を取得する必要があるメカニズムを介してシステムをハッキングできないようにすることです。
ベストアンサー1
興味深い違いは次のとおりです。
人々がログインするのを防ぐことについて話すものではありません。私はログインできるシステム部分を削除することについて話しています。
意味論的な違いに加えて、実際に何があるのかはよくわかりません。私がそれを削除した場合、/bin/loginログインが不可能になったため(物理端末から)ログインできません。しかし、完全なログインサブシステムを削除することはありません。
私のアドバイスは、予期しない依存関係がある可能性があるため、できるだけ完全に保つようにすることです。 Webサーバーが別のアカウントで実行されるようにユーザーを残してくださいroot。 PAMサブシステムを変更して、対話型および非対話型ログインを防止します。sudo同様にタイプアクセスをブロックすることを選択できます。
「拒否」のPAM定義の準備
Create には
/etc/pam.d/denied次の 2 行が含まれます。auth requisite pam_deny.so session requisite pam_deny.so端末/画面でログインを防止
/etc/pam.d/loginコピーと交換/etc/pam.d/deniedネットワークログインの防止
ssh/etc/pam.d/sshdコピーと交換/etc/pam.d/denied編集
/etc/ssh/sshd_configして設定されていることを確認してくださいUsePam yes。(オプション)無効にしてみてください。
sudo/etc/pam.d/sudoコピーと交換/etc/pam.d/denied
実際にすべてのログインを拒否するのではなく、物理端末/画面でルートログインを許可し、他のすべてのログインを拒否します。これはPAMを介して行うこともできますが、質問の特定の範囲を超えています。