Kuinka suojata salasanalla yhden käyttäjän tila CentOS 7: ssä
Eräässä aiemmissa artikkeleissamme kuvailimme kuinka käynnistetään yhden käyttäjän tilaan CentOS 7: ssä. Se tunnetaan myös nimellä\"huoltotila '', jossa Linux käynnistää vain muutaman palvelun perustoiminnoille, jotta yksi käyttäjä (yleensä superuser) suorittaa tiettyjä hallinnollisia tehtäviä, kuten fsck: n avulla vioittuneiden tiedostojärjestelmien korjaamiseen.
Yhden käyttäjän tilassa järjestelmä suorittaa yhden käyttäjän kuoren, jossa voit suorittaa komentoja ilman kirjautumistunnuksia (käyttäjänimeä ja salasanaa), laskeudut suoraan rajoitettuun kuoreen, jolla on pääsy koko tiedostojärjestelmään.
Tämä on valtava turva-aukko, koska se antaa tunkeilijoille suoran pääsyn kuoreen (ja mahdollisen pääsyn koko tiedostojärjestelmään). Siksi on tärkeää suojata yhden käyttäjän tila salasanalla CentOS 7: ssä alla kuvatulla tavalla.
CentOS/RHEL 7: ssä pelastus- ja hätäkohteet (jotka ovat myös yhden käyttäjän tiloja) on suojattu salasanalla oletuksena.
Esimerkiksi kun yrität vaihtaa tavoitetta (ajotaso) systemd-tiedostosta Rescue.targetiksi (myös hätätilanteessa.target), sinulta kysytään pääsalasanaa seuraavan kuvakaappauksen mukaisesti.
# systemctl isolate rescue.target OR # systemctl isolate emergency.target
Jos tunkeilijalla on kuitenkin fyysinen pääsy palvelimelle, hän voi valita käynnistettävän ytimen grub-valikkokohdasta painamalla e
-näppäintä muokataksesi ensimmäistä käynnistysvaihtoehtoa.
Ytimen rivillä, joka alkaa \"linux16 \"
, hän voi muuttaa argumentin ro
arvoksi \"rw init =/sysroot/bin/sh ”
ja käynnistä yhden käyttäjän tilaan CentOS 7: ssä ilman, että järjestelmä pyytää pääsalasanaa, vaikka rivi SINGLE =/sbin/sushell
muutettaisiin muotoon SINGLE =/sbin/sulogin
tiedostossa/etc/sysconfig/init.
Joten ainoa tapa suojata salasanalla yhden käyttäjän tila CentOS 7: ssä on suojata GRUB salasanalla seuraavien ohjeiden avulla.
Kuinka suojata salasana salasanalla CentOS 7: ssä
Luo ensin vahva salattu salasana käyttämällä grub2-setpassword-apuohjelmaa kuvan mukaisesti.
# grub2-setpassword
Salasanan hajautus on tallennettu tiedostoon /boot/grub2/user.cfg ja käyttäjä eli "root" on määritelty tiedostossa /boot/grub2/grub.cfg, voit tarkastella salasanaa kissa-komennolla kuvan osoittamalla tavalla.
# cat /boot/grub2/user.cfg
Avaa nyt /boot/grub2/grub.cfg-tiedosto ja etsi käynnistysmerkintä, jonka haluat suojata salasanalla, se alkaa menuentry
. Kun merkintä on löydetty, poista parametri - rajoittamaton
.
Tallenna tiedosto ja sulje, yritä nyt käynnistää CentOS 7 -järjestelmä uudelleen ja muokata käynnistysmerkintöjä painamalla e
-näppäintä. Sinua pyydetään antamaan tunnistetiedot kuvan mukaisesti.
Se siitä. CentOS 7 GRUB -valikko on suojattu salasanalla.