Что я мог оставить работой сервера Linux локально, когда весь доступ является удаленным?
Это зависит.
Я выполнил свой собственный DNS для моих различных заданий с конца 80-х (BSD 4.3c). Для работы я всегда размещал свой собственный DNS, но у меня всегда было несколько местоположений ЦОД, или смог обмениваться вторичным DNS с партнером. Например, в моем последнем задании мы сделали вторичный DNS для другого.EDU (они были в MN, мы находимся в CA), и они сделали то же для нас. Географическое и сетевое разнообразие.
Или, в моем существующем задании у нас есть наше собственное восточное и западное побережье (США) центры обработки данных. Хостинг нашего собственного DNS позволяет нам вставить любые необычные записи DNS, в которых мы, возможно, нуждались бы (SVR, TXT, и т.д.), который не мог бы поддерживаться частью GUI сервисы DNS. И, мы можем изменить TTLs каждый раз, когда нам нравится; у нас есть в значительной степени окончательная гибкость, за счет выполнения его самих.
Для домашнего материала я сделал это оба пути. Для некоторых доменов, где я делаю необычный материал или нуждаюсь в большой гибкости, я все еще выполняю свои собственные "скрытые" основные серверы DNS и обмениваюсь общедоступными сервисами DNS с другими, которые делают то же. Я использую RCS для файлов зоны управления версиями для управления конфигурацией, таким образом, я вижу, что целая история зоны возвращается к началу времени. Для простых вещей как домен с единственным блогом или универсальными веб-серверами (один запись или один CNAME), просто легче использовать доменных регистраторов сервис DNS, где доступный и теперь волнуются о CM.
Это - компромисс. Окончательное управление и гибкость происходят за счет обработки разнообразия самостоятельно, выполнения нескольких серверов, контакта с аппаратными средствами/программными ошибками, и т.д. Если Вам не будут нужны гибкость или полный контроль, то любой из главных поставщиков DNS решит Вашу проблему, вероятно, в более низкой общей стоимости.
Я не уверен точно, но мои предположения, если это помогает, необходимо было бы изучить /etc/inittab или параметры начальной загрузки ядра.
Однако я думал бы, оставляя те терминалы активными, имеет большую часть смысла. Безопасность часто является балансом против способности диагностировать/устранять что-то по сравнению с ограничением доступа. В этом случае я сказал бы, что поиск и устранение неисправностей более важен. Отключение терминалов просто походит на безопасность через мрак. Терминал защищен паролем, и если у кого-то есть физический доступ, они могли бы всегда загружаться в однопользовательский режим или что-то как этот (хотя я предполагаю в этой ситуации, Вы могли бы получить предупреждение).
-
1Да, Вы прокомментировали бы gettys в inittab и SIGHUP init. (pid 1) Соглашается полностью с Kyle, не могло бы стоить риска, если Вы повреждаете SSH. – Warner 22 April 2010 в 17:04
-
2хорошо, есть ли что-нибудь, что я мог выполнить это, если бы кто-либо пытался выйти из него, то возвратился бы к подсказке входа в систему, поэтому сохранив безопасность, но также и позволив мне выполнить что-то? – ianfuture 23 April 2010 в 15:00
-
3Конечно.../bin/login. Другими словами, what' s Ваша мотивация здесь? Почему Вы даже хотите выполнить что-то? Только для ударов? – MikeyB 23 April 2010 в 17:15
Терминал должен остаться рабочим. Что, если Ваш ssh демон отказывает? Физический доступ к системе является простым способом обойти большую часть безопасности. Как Kyle сказал, они могут загрузиться в однопользовательский режим и получить доступ к системе. Можно смягчить это при помощи пароля загрузчика в личинке, но если у кого-то есть физический доступ к системам затем, у Вас есть большие проблемы.
Для прямого ответа на другие вопросы это кажется, что Вы просто хотите некоторый общий стабилизирующий совет. Отъезд ненужных демонов/сервисов, работающих, может представить ненужный риск. Посмотрите на все свои сервисы, ищите то, что они делают или что они обеспечивают и думают о том, нуждаетесь ли Вы или используете тот конкретный. Если Вы не делаете, отключите его. Вы, кажется, хотите сфокусироваться на ssh доступе также. Отключите корневые логины через ssh, осуществите блокировки так, чтобы кто-то не мог грубая сила Вы, или если у Вас есть ограниченное количество пользователей, получающих доступ к этой системе, можно позволить только тем определенным пользователям регистрироваться на пути ssh.
Не волнуйтесь о приглашениях ко входу в систему. Они - наименьшее количество Ваших забот. Когда обеспечение сервера удостоверяется, что кто-то не может изменить параметры начальной загрузки и добавить "init =/bin/bash", чтобы обойти аутентификацию и получить корневую оболочку.
Для предотвращения этого, Вы могли запретить любой доступ к загрузчику путем предотвращения доступа к меню загрузчика. Не идеальный.
Лучше должен добавить пароль к загрузчику для предотвращения модификаций к тем настройкам: http://ubuntuforums.org/showthread.php?t=7353
И затем можно также хотеть к паролю, защищают BIOS. О, и в то время как мы в нем, необходимо, вероятно, запереть его... не уверенный, как далеко взять это, поскольку описание испытывает недостаток в деталях.