Oracle Linux: Benutzerkonten aus Anmeldedialog entfernen

Um die Sicherheit von Linux-Desktop-Systemen zu erhöhen, empfiehlt sich die Deaktivierung der Benutzerliste im Anmeldedialog des Display Managers. Dies gilt besonders für Benutzerkonten mit Systemprivilegien und ist mit sehr wenig Aufwand möglich.

Die hier beschriebenen Schritte beziehen sich auf Oracle Linux 6.4 und die Verwendung von GDM. Andere Konfigurationen können ebenfalls funktionieren; über entsprechende Kommentare wäre ich natürlich dankbar.

Möglichkeit 1: Deaktivieren der gesamten Benutzerliste

Am sichersten ist es natürlich, im Anmeldedialog keine vorhandenen Bneutzerkonten auszugeben. Dies hat den Vorteil, dass potenzielle Angreifer, wenn sie schon den Weg auf das sicherheitskritische System gefunden haben, nicht auch noch die benötigten Benutzerkonten für mögliche Brute-Force-Angriffe genannt bekommen. Zugegeben: wer es bis hierher geschafft hat, hat es vielleicht auch verdient. Aber wir wollen ja niemanden einladen, oder?

Die Benutzerliste kann durch einen administrativen Benutzer mit folgendem Befehl vollständig ausgeblendet werden:

gconftool-2 --type bool --set /apps/gdm/simple-greeter /disable_user_list true

Möglichkeit 2: Exkludieren bestimmter Benutzerkonten

Eine zweite Möglichkeit besteht im ausdrücklichen Exkludieren bestimmter Konten aus der Liste anzuzeigender Benutzer. Dies kann durch Anpassen des Abschnitts "[greeter]" in der Datei "/etc/gdm/custom.conf" erfolgen. Da die Systemeinstellung durch den in dieser Datei gesetzten Wert ersetzt wird, ist der Standardwert sinnvollerweise mit in die Datei zu übernehmen. Der Standardwert kann aus der Datei "/etc/gdm/gdm.schemas" ausgelesen werden:

<schema>
	<key>greeter/Exclude</key>
	<signature>s</signature>
	<default>bin,root,daemon,adm,lp,sync,shutdown,halt,mail,news,uucp,operator,nobody,nobody4,noaccess,postgres,pvm,rpm,nfsnobody,pcap</default>
</schema>

Die Benutzerliste kann für die Exclude-Option in die Datei "cutom.conf" übernommen werden. Der folgende Code-Abschnitt zeigt ein Beispiel der Datei:

# GDM configuration storage

[daemon]

[security]

[xdmcp]

[greeter]
Exclude=bin,root,daemon,adm,lp,sync,shutdown,halt,mail,news,uucp,operator,nobody,nobody4,noaccess,postgres,pvm,rpm,nfsnobody,pcap,oracle

[chooser]

[debug]

Ich selbst habe ein paar Anläufe gebraucht, bis ich die richtigen Suchbegriffe erwischt habe, daher hoffe ich, dass ich euch mit diesem Beitrag die eine oder andere Suche ersparen konnte...

Zurück

Einen Kommentar schreiben

Sie müssen sich anmelden, um Kommentare hinzuzufügen.

Die Kommentarfunktion ist nur für registrierte Benutzer freigeschaltet. Registrieren