Yhden käyttäjän tilan salasanasuojaus CentOS 7:ssä

Yhdessä aikaisemmista artikkeleistamme kuvailimme, kuinka CentOS 7:ssä käynnistetään yhden käyttäjän tilaan. Se tunnetaan myös nimellä "ylläpitotila", jossa Linux käynnistää vain kourallisen palveluita perustoimintojen mahdollistamiseksi. yksittäinen käyttäjä (yleensä pääkäyttäjä) suorittaa tiettyjä hallinnollisia tehtäviä, kuten fsck-korjauksen vioittuneet tiedostojärjestelmät.

Yhden käyttäjän tilassa järjestelmä suorittaa yhden käyttäjän kuoren, jossa voit suorittaa komentoja ilman kirjautumistietoja (käyttäjätunnus ja salasana). Pääset suoraan rajoitettuun komentotulkkiin, jolla on pääsy koko tiedostojärjestelmään.

Tämä on valtava tietoturva-aukko, koska se antaa tunkeutujille suoran pääsyn komentotulkkiin (ja mahdollisen pääsyn koko tiedostojärjestelmään). Siksi on tärkeää suojata salasanalla yhden käyttäjän tila CentOS 7:ssä alla kuvatulla tavalla.

CentOS/RHEL 7:ssä pelastuskohteet ja hätäkohteet (jotka ovat myös yhden käyttäjän tiloja) ovat salasana. oletuksena suojattu.

Esimerkiksi kun yrität muuttaa kohdetta (ajotaso) systemd-kohdan kautta arvoon rescue.target (myös >emergency.target), sinulta kysytään pääkäyttäjän salasanaa seuraavan kuvakaappauksen mukaisesti.

systemctl isolate rescue.target
OR
systemctl isolate emergency.target

Jos tunkeutujalla on kuitenkin fyysinen pääsy palvelimeen, hän voi valita käynnistyvän ytimen grub-valikon kohdasta painamalla e-näppäintä muokataksesi ensimmäistä käynnistysvaihtoehtoa.

Ytimen rivillä, joka alkaa sanoilla "linux16", hän voi muuttaa argumentin ro arvoksi "rw init=/sysroot/bin/sh" ja käynnistää yhden käyttäjän tilassa CentOS 7 ilman, että järjestelmä kysyisi pääkäyttäjän salasanaa, vaikka rivi SINGLE=/sbin/sushell muutetaan arvoksi SINGLE=/sbin/sulogin tiedostossa /etc/sysconfig/init.

Joten ainoa tapa suojata salasanalla yhden käyttäjän tila CentOS 7:ssä on suojata GRUB salasanalla seuraavien ohjeiden avulla.

Grubin salasanasuojaus CentOS 7:ssä

Luo ensin vahva salattu salasana grub2-setpassword-apuohjelmalla kuvan mukaisesti.

grub2-setpassword

Salasanan Hash on tallennettu hakemistoon /boot/grub2/user.cfg ja käyttäjä eli ”root” on määritetty tiedostossa / boot/grub2/grub.cfg-tiedosto, voit tarkastella salasanaa cat-komennolla kuvan mukaisesti.

cat /boot/grub2/user.cfg

Avaa nyt tiedosto /boot/grub2/grub.cfg ja etsi käynnistysmerkintä, jonka haluat suojata salasanalla. Sen alussa on menuentry. Kun merkintä on löydetty, poista siitä parametri --unrestricted.

Tallenna tiedosto ja sulje. Yritä nyt käynnistää uudelleen CentOS 7 -järjestelmä ja muokata käynnistysmerkintöjä painamalla e-näppäintä. Sinua pyydetään antamaan valtuustiedot kuvan mukaisesti.

Se siitä. Olet onnistuneesti suojannut salasanalla CentOS 7 GRUB-valikon.