Kuinka suojata salasanalla yhden käyttäjän tila CentOS 7: ssä

Eräässä aiemmissa artikkeleissamme kuvailimme kuinka käynnistetään yhden käyttäjän tilaan CentOS 7: ssä. Se tunnetaan myös nimellä\"huoltotila '', jossa Linux käynnistää vain muutaman palvelun perustoiminnoille, jotta yksi käyttäjä (yleensä superuser) suorittaa tiettyjä hallinnollisia tehtäviä, kuten fsck: n avulla vioittuneiden tiedostojärjestelmien korjaamiseen.

Yhden käyttäjän tilassa järjestelmä suorittaa yhden käyttäjän kuoren, jossa voit suorittaa komentoja ilman kirjautumistunnuksia (käyttäjänimeä ja salasanaa), laskeudut suoraan rajoitettuun kuoreen, jolla on pääsy koko tiedostojärjestelmään.

Tämä on valtava turva-aukko, koska se antaa tunkeilijoille suoran pääsyn kuoreen (ja mahdollisen pääsyn koko tiedostojärjestelmään). Siksi on tärkeää suojata yhden käyttäjän tila salasanalla CentOS 7: ssä alla kuvatulla tavalla.

CentOS/RHEL 7: ssä pelastus- ja hätäkohteet (jotka ovat myös yhden käyttäjän tiloja) on suojattu salasanalla oletuksena.

Esimerkiksi kun yrität vaihtaa tavoitetta (ajotaso) systemd-tiedostosta Rescue.targetiksi (myös hätätilanteessa.target), sinulta kysytään pääsalasanaa seuraavan kuvakaappauksen mukaisesti.

# systemctl isolate rescue.target
OR
# systemctl isolate emergency.target

Jos tunkeilijalla on kuitenkin fyysinen pääsy palvelimelle, hän voi valita käynnistettävän ytimen grub-valikkokohdasta painamalla e -näppäintä muokataksesi ensimmäistä käynnistysvaihtoehtoa.

Ytimen rivillä, joka alkaa \"linux16 \" , hän voi muuttaa argumentin ro arvoksi \"rw init =/sysroot/bin/sh ” ja käynnistä yhden käyttäjän tilaan CentOS 7: ssä ilman, että järjestelmä pyytää pääsalasanaa, vaikka rivi SINGLE =/sbin/sushell muutettaisiin muotoon SINGLE =/sbin/sulogin tiedostossa/etc/sysconfig/init.

Joten ainoa tapa suojata salasanalla yhden käyttäjän tila CentOS 7: ssä on suojata GRUB salasanalla seuraavien ohjeiden avulla.

Kuinka suojata salasana salasanalla CentOS 7: ssä

Luo ensin vahva salattu salasana käyttämällä grub2-setpassword-apuohjelmaa kuvan mukaisesti.

# grub2-setpassword

Salasanan hajautus on tallennettu tiedostoon /boot/grub2/user.cfg ja käyttäjä eli "root" on määritelty tiedostossa /boot/grub2/grub.cfg, voit tarkastella salasanaa kissa-komennolla kuvan osoittamalla tavalla.

# cat /boot/grub2/user.cfg

Avaa nyt /boot/grub2/grub.cfg-tiedosto ja etsi käynnistysmerkintä, jonka haluat suojata salasanalla, se alkaa menuentry . Kun merkintä on löydetty, poista parametri - rajoittamaton .

Tallenna tiedosto ja sulje, yritä nyt käynnistää CentOS 7 -järjestelmä uudelleen ja muokata käynnistysmerkintöjä painamalla e -näppäintä. Sinua pyydetään antamaan tunnistetiedot kuvan mukaisesti.

Se siitä. CentOS 7 GRUB -valikko on suojattu salasanalla.