[Информационная безопасность, *nix, Серверное администрирование] Отключаем прямой доступ к терминалу на арендованном сервере
Автор
Сообщение
news_bot ®
Стаж: 6 лет 3 месяца
Сообщений: 27286
Навряд ли кто-то из читателей хотя бы раз в жизни не арендовал виртуальный выделенный сервер (VPS) на каком-нибудь хостинге. Это просто и весьма дёшево: для личного блога, игрового сервера, учебных целей и так далее.Случается, что на подобном сервере нужно хранить чувствительную информацию: криптографические ключи, личную и корпоративную переписку и тому подобное. Главным инструментом превентивной защиты является шифрование диска, которое предотвратит утечку информации при попадании дампа виртуальной машины в руки злоумышленника. В этой статье рассмотрим отключение прямого доступа к эмулятору терминала, что позволит подключаться к серверу исключительно через ssh, а всем недобросовестным хостерам увидеть милую кошечку с радугой.
Пример будет разобран на операционной системе Debian, использующей systemd. Главная задача заключается в отключении служб, отвечающих за инициализацию терминала: systemd-logind и getty.Первым всегда инициализируется терминал tty1. Отключаем его командой: systemctl disable getty@tty1. Оперировать остальными терминалами позволяет утилита getty-static. Также отключаем ее: systemctl disable getty-static.Перезапустив сервер, в веб-терминале VNC вместо строки приглашения с просьбой ввести логин, увидим чёрный экран. Однако, при нажатии Ctrl+Alt+F2 мы попадем во второй терминал, так как активна служба systemd-logind, которая обрабатывает манипуляции с терминалами. Блокируем ее, изменяя конфигурационный файл /etc/systemd/logind.conf:
[Login]
NAutoVTs=0
ReserveVT=0
Теперь подключиться к серверу возможно только через ssh, прямой доступ не работает. Святое место пусто не бывает, поэтому черноту, которая заменила терминал, заменим на жизнерадостную заставку с Nyan cat.Устанавливаем: apt-get install nyancat. Затем создаем файл сервиса: nano /etc/systemd/system/nyancat-tty.service
[Unit]
Description=nyancat on tty1
After=graphical.target
[Service]
Type=simple
ExecStartPre=/bin/sleep 5
ExecStart=/usr/bin/nyancat -snI
ExecStop=/bin/kill -HUP ${MAINPID}
StandardInput=tty
StandardOutput=tty
TTYPath=/dev/tty1
Restart=always
RestartSec=2
[Install]
WantedBy=graphical.target
И наконец включаем нашу службу красочной замены терминала: systemctl enable nyancat-tty.service
Теперь все попытки физического подключения к терминалу операционной системы будут выдавать милую заставку. Так как прямого доступа к управлению системы нет, к настройкам сети и ssh следует проявлять особое внимание.Спасибо R4SAS за помощь в написании заметки.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность] ТОП-3 ИБ-событий недели по версии Jet CSIRT
- [Информационная безопасность] Вы пользуетесь уязвимым софтом, но я вам не могу об этом рассказать
- Уязвимости в подсистеме eBPF ядра Linux
- [Информационная безопасность, Open source, GitHub, Машинное обучение, IT-компании] Microsoft представила симулятор кибератак с машинным обучением
- [Системное программирование, *nix, C, Разработка под Linux] Новый sd-bus API от systemd (перевод)
- [Информационная безопасность, Реверс-инжиниринг] GDB Tutorial for Reverse Engineers: Breakpoints, Modifying Memory and Printing its Contents
- [Информационная безопасность, Софт] Мониторинг эксплойтов
- [Open source, *nix, Карьера в IT-индустрии, Openshift] Пишем 'Hello World' на WebAssembly, шпаргалка по Linux-команде sed, а также 15 самых востребованных ИТ-сертификатов года
- [Настройка Linux, Open source, *nix, Сетевые технологии, Беспроводные технологии] Настройка роутера с прошивкой DD-WRT на работу с L2TP на примере Билайна
- [Информационная безопасность, Мессенджеры, Законодательство в IT] У владельца Telegram-бота «пробива» данных «Глаз Бога» прошли обыски
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_*nix, #_servernoe_administrirovanie (Серверное администрирование), #_linux, #_debian, #_ssh, #_tty, #_blog_kompanii_itsoft (
Блог компании ITSOFT
), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_*nix, #_servernoe_administrirovanie (
Серверное администрирование
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 15-Май 21:58
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 3 месяца |
|
|
Навряд ли кто-то из читателей хотя бы раз в жизни не арендовал виртуальный выделенный сервер (VPS) на каком-нибудь хостинге. Это просто и весьма дёшево: для личного блога, игрового сервера, учебных целей и так далее.Случается, что на подобном сервере нужно хранить чувствительную информацию: криптографические ключи, личную и корпоративную переписку и тому подобное. Главным инструментом превентивной защиты является шифрование диска, которое предотвратит утечку информации при попадании дампа виртуальной машины в руки злоумышленника. В этой статье рассмотрим отключение прямого доступа к эмулятору терминала, что позволит подключаться к серверу исключительно через ssh, а всем недобросовестным хостерам увидеть милую кошечку с радугой.  Пример будет разобран на операционной системе Debian, использующей systemd. Главная задача заключается в отключении служб, отвечающих за инициализацию терминала: systemd-logind и getty.Первым всегда инициализируется терминал tty1. Отключаем его командой: systemctl disable getty@tty1. Оперировать остальными терминалами позволяет утилита getty-static. Также отключаем ее: systemctl disable getty-static.Перезапустив сервер, в веб-терминале VNC вместо строки приглашения с просьбой ввести логин, увидим чёрный экран. Однако, при нажатии Ctrl+Alt+F2 мы попадем во второй терминал, так как активна служба systemd-logind, которая обрабатывает манипуляции с терминалами. Блокируем ее, изменяя конфигурационный файл /etc/systemd/logind.conf: [Login]
NAutoVTs=0 ReserveVT=0 [Unit]
Description=nyancat on tty1 After=graphical.target [Service] Type=simple ExecStartPre=/bin/sleep 5 ExecStart=/usr/bin/nyancat -snI ExecStop=/bin/kill -HUP ${MAINPID} StandardInput=tty StandardOutput=tty TTYPath=/dev/tty1 Restart=always RestartSec=2 [Install] WantedBy=graphical.target  Теперь все попытки физического подключения к терминалу операционной системы будут выдавать милую заставку. Так как прямого доступа к управлению системы нет, к настройкам сети и ssh следует проявлять особое внимание.Спасибо R4SAS за помощь в написании заметки. =========== Источник: habr.com =========== Похожие новости:
Блог компании ITSOFT ), #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_*nix, #_servernoe_administrirovanie ( Серверное администрирование ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 15-Май 21:58
Часовой пояс: UTC + 5