Certaines règles de sécurité peuvent forcer les administrateurs à se connecter au système sur une console avec leur identifiant et mot de passe puis devenir superutilisateur (avec su ou sudo). Cette règle est appliquée sous Debian en éditant les fichiers /etc/pam.d/login et /etc/securetty lors de l'utilisation de PAM :

/etc/pam.d/login ^[17] active le module pam_securetty.so. Ce module, une fois correctement configuré, interdira la demande de mot de passe quand le superutilisateur essaye de se connecter sur une console non sécurisée, rejetant l'accès à cet utilisateur ;

securetty^[18] en ajoutant ou supprimant les terminaux depuis lesquels les accès du superutilisateur seront autorisés. Si vous voulez n'autoriser que les accès locaux en console, vous avez alors besoin de console, ttyX^[19] et vc/X (si vous utilisez des périphériques devfs), vous pouvez vouloir ajouter également ttySX^[20] si vous utilisez une console série pour l'accès local (où X est un nombre entier, vous pouvez vouloir avoir plusieurs instances). La configuration par défaut pour Wheezy ^[21] inclut de nombreux périphériques tty, ports séries, consoles vc ainsi que le serveur X et le périphérique console. Vous pouvez ajuster cela en toute sécurité si vous n'utilisez pas tant de consoles. Vous pouvez confirmer les consoles virtuelles et périphériques tty disponibles en vérifiant /etc/inittab ^[22]. Pour plus d'informations sur les périphériques de terminal, veuillez consulter le http://tldp.org/HOWTO/Text-Terminal-HOWTO-6.html (ou la http://www.traduc.org/docs/HOWTO/vf/Text-Terminal-HOWTO.html).

En cas d'utilisation de PAM d'autres changements au processus de login, qui peuvent inclure des restrictions aux utilisateurs et groupes à certains moments, peuvent être configurés dans /etc/pam.d/login. Une fonctionnalité intéressante qui peut être désactivée est la possibilité de se connecter avec des mots de passe nuls (vides). Cette fonctionnalité peut être limitée en enlevant nullok de la ligne:

auth       required   pam_unix.so nullok