Kaum einer der Leser hat mindestens einmal in seinem Leben einen Virtual Dedicated Server (VPS) gemietet. Es ist einfach und recht günstig: für einen persönlichen Blog, einen Spieleserver, Bildungszwecke und so weiter.
Es kommt vor, dass Sie auf einem solchen Server vertrauliche Informationen speichern müssen: kryptografische Schlüssel, persönliche und Unternehmenskorrespondenz und dergleichen. Das wichtigste vorbeugende Schutzwerkzeug ist die Festplattenverschlüsselung, die Informationslecks verhindert, wenn ein Speicherauszug einer virtuellen Maschine in die Hände eines Angreifers fällt. In diesem Artikel wird erwogen, den direkten Zugriff auf den Terminalemulator zu deaktivieren, sodass Sie ausschließlich über ssh eine Verbindung zum Server herstellen können. Alle skrupellosen Hoster sehen eine süße Katze mit einem Regenbogen.
Das Beispiel wird auf einem Debian-Betriebssystem mit systemd analysiert. Die Hauptaufgabe besteht darin, die für die Initialisierung des Terminals verantwortlichen Dienste zu deaktivieren: systemd-logind und getty.
tty1. : systemctl disable getty@tty1
. getty-static. : systemctl disable getty-static
.
, - VNC , . , Ctrl+Alt+F2 , systemd-logind, . , /etc/systemd/logind.conf
:
[Login] NAutoVTs=0 ReserveVT=0
ssh, . , , , Nyan cat.
: apt-get install nyancat
. :
nano /etc/systemd/system/nyancat-tty.service
[Unit]
Description=nyancat on tty1
After=graphical.target
[Service]
Type=simple
ExecStartPre=/bin/sleep 5
ExecStart=/usr/bin/nyancat -snI
ExecStop=/bin/kill -HUP ${MAINPID}
StandardInput=tty
StandardOutput=tty
TTYPath=/dev/tty1
Restart=always
RestartSec=2
[Install]
WantedBy=graphical.target
: systemctl enable nyancat-tty.service
. , ssh .
R4SAS .