Pratiquement aucun des lecteurs au moins une fois dans sa vie n'a loué de serveur virtuel dédié (VPS). C'est simple et assez bon marché: pour un blog personnel, un serveur de jeu, à des fins éducatives, etc.
Il arrive que sur un tel serveur, vous ayez besoin de stocker des informations sensibles: clés cryptographiques, correspondance personnelle et d'entreprise, etc. Le principal outil de protection préventive est le chiffrement de disque, qui empêchera les fuites d'informations si un vidage de machine virtuelle tombe entre les mains d'un attaquant. Dans cet article, nous envisagerons de désactiver l'accès direct à l'émulateur de terminal, ce qui vous permettra de vous connecter au serveur exclusivement via ssh, et tous les hébergeurs peu scrupuleux verront un chat mignon avec un arc-en-ciel.
L'exemple sera analysé sur un système d'exploitation Debian utilisant systemd. La tâche principale est de désactiver les services chargés de l'initialisation du terminal: systemd-logind et getty.
tty1. : systemctl disable getty@tty1
. getty-static. : systemctl disable getty-static
.
, - VNC , . , Ctrl+Alt+F2 , systemd-logind, . , /etc/systemd/logind.conf
:
[Login] NAutoVTs=0 ReserveVT=0
ssh, . , , , Nyan cat.
: apt-get install nyancat
. :
nano /etc/systemd/system/nyancat-tty.service
[Unit]
Description=nyancat on tty1
After=graphical.target
[Service]
Type=simple
ExecStartPre=/bin/sleep 5
ExecStart=/usr/bin/nyancat -snI
ExecStop=/bin/kill -HUP ${MAINPID}
StandardInput=tty
StandardOutput=tty
TTYPath=/dev/tty1
Restart=always
RestartSec=2
[Install]
WantedBy=graphical.target
: systemctl enable nyancat-tty.service
. , ssh .
R4SAS .