Cette méthode détecte immédiatement les tentatives de root d'accéder au système local.
Avant de commencer
Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
CONSOLE=/dev/console
Par défaut, le périphérique de console est défini sur /dev/console. Avec ce paramètre, root peut se connecter à la console. root ne peut pas se connecter à distance.
A partir d'un système distant, essayez de vous connecter en tant que root.
mach2 % ssh -l root mach1 Password: <Type root password of mach1> Password: Password: Permission denied (gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive).
Dans la configuration par défaut, root correspond à un rôle et les rôles ne peuvent pas se connecter. De plus, dans la configuration par défaut, le protocole ssh empêche la connexion de l'utilisateur root.
Par défaut, les tentatives de devenir root sont imprimées sur la console par l'utilitaire SYSLOG.
% su - Password: <Type root password> #
Un message est imprimé sur la console de terminal.
Sep 7 13:22:57 mach1 su: 'su root' succeeded for jdoe on /dev/pts/6
Dans cet exemple, les tentatives root ne sont pas consignées par SYSLOG. Par conséquent, l'administrateur consigne ces tentatives en retirant le commentaire de l'entrée #CONSOLE=/dev/console dans le fichier /etc/default/su.
# CONSOLE determines whether attempts to su to root should be logged # to the named device # CONSOLE=/dev/console
Lorsqu'un utilisateur tente de devenir l'utilisateur root, la tentative est imprimée sur la console de terminal.
SU 09/07 16:38 + pts/8 jdoe-root
Dépannage
Pour devenir l'utilisateur root à partir d'un système distant lorsque le fichier /etc/default/login contient l'entrée CONSOLE par défaut, les utilisateurs doivent préalablement se connecter avec leur nom d'utilisateur. Après la connexion avec leur nom d'utilisateur, les utilisateurs peuvent utiliser la commande su pour devenir l'utilisateur root.
Si la console affiche une entrée similaire à Last login: Wed Sep 7 15:13:11 2011 from mach2, le système est configuré pour autoriser les connexions root à distance. Pour empêcher l'accès root à distance, remplacez l'entrée #CONSOLE=/dev/console par CONSOLE=/dev/console dans le fichier /etc/default/login. Pour rétablir la valeur par défaut du protocole ssh, reportez-vous à la page de manuel sshd_config(4).