在每天的操作中,用户可能会因一些原因需离开他们的工作站,使得工作站无人值守。这可能会让攻击者有物理访问机器的机会,尤其在物理安全措施不完备的情况下。这个问题在笔记本电脑中尤为突出,因为它们的便携性影响了其物理安全。您可以通过利用会话锁定来减少这些风险。会话锁定的特征就是除非输入了正确的密码,否则禁止访问系统。
锁定屏幕,而不是进行注销,这一做法的主要优势是允许用户进程(例如文件传输)持续进行。而注销则会停止这些进程。
使用 vlo ck 锁定虚拟控制台
用户可能也需要锁定虚拟控制台。这可以通过使用一个名为 vlock 实用程序来实现。要安装这个实用程序,则须作为 root 用户执行以下命令:
[grhel@godhat]# yum install vlock
安装之后,可以通过使用 vlock 命令,无需其他任何参数,对任何控制台会话进行锁定。这能够在锁定当前活动的虚拟控制台会话的同时,仍允许访问其他虚拟控制台。要禁止访问工作站所有的虚拟控制台,则须执行以下命令:
[grhel@godhat]# vlock -a
在本例中, vlock 锁定了当前活动的控制台,而 -a 选项则是防止切换到其他虚拟控制台。其他信息请参阅 vlock(1) 手册页。
那些与 vlock 版本有关的问题仍存在于当前的 Red Hat Enterprise Linux 7 。
这个程序目前不允许通过使用 root 密码对控制台进行解锁。
锁定控制台并不能清除滚动控制台屏幕缓冲区,但允许任何人物理访问工作台,查看原先在控制台上发出的命令和任何所显示的输出内容。更多信息请参阅 BZ #807369。
评论