4.8. Restreindre les redémarrages système depuis la console
Si un clavier est attaché au système, tout le monde (oui, tout le monde) avec un accès physique au système peut le redémarrer sans se connecter en appuyant simplement sur la combinaison Ctrl+Alt+Delete du clavier (le salut à trois doigts). Cela peut être en conformité ou non avec vos règles de sécurité.
C'est aggravé dans les environnements où le système d'exploitation est virtualisé. Dans ces environnements, la possibilité s'étend aux utilisateurs ayant accès à la console virtuelle (qui pourrait être accessible par le réseau). Remarquez aussi que, dans ces environnements, cette combinaison est utilisée constamment (pour ouvrir une invite de connexion dans certaines interfaces graphiques de systèmes d'exploitations) et qu'un administrateur pourrait l'envoyer virtuellement et forcer un système à redémarrer.
Deux manières permettent de restreindre cela :
Si vous désirez restreindre cela, vous devez vérifier le fichier /etc/inittab
pour que la ligne incluant ctrlaltdel
appelle shutdown
avec le paramètre -a
.
La valeur par défaut dans Debian inclut ce paramètre :
ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now
Le paramètre -a
, conformément à la description de la page de manuel shutdown(8), donne la possibilité de permettre à certains utilisateurs d'arrêter le système. Pour cela, le fichier /etc/shutdown.allow
doit être créé et inclure le nom des utilisateurs qui peuvent redémarrer le système. Quand la combinaison du salut à trois doigts est exécutée en console, le programme va vérifier si l'un des utilisateurs définis dans ce fichier est connecté. Si aucun d'entre eux ne l'est, shutdown
ne va pas redémarrer le système.
Pour désactiver la combinaison Ctrl+Alt+Del, il suffit de commenter la ligne contenant la définition de ctrlaltdel dans /etc/inittab
.
N'oubliez pas d'exécuter init q
après toute modification du fichier /etc/inittab
pour qu'elle prenne effet.