Kaip apsaugoti slaptažodžiu vieno vartotojo režimą „CentOS 7“.

Viename iš ankstesnių straipsnių aprašėme, kaip „CentOS 7“ paleisti vieno vartotojo režimą. Jis taip pat žinomas kaip „priežiūros režimas“, kai „Linux“ paleidžia tik kelias pagrindines funkcijas. vienas vartotojas (paprastai supervartotojas) atlieka tam tikras administravimo užduotis, pvz., naudoja fsck sugadintoms failų sistemoms taisyti.

Vieno vartotojo režimu sistema vykdo vieno vartotojo apvalkalą, kuriame galite vykdyti komandas be jokių prisijungimo duomenų (naudotojo vardo ir slaptažodžio), o jūs pateksite tiesiai į ribotą apvalkalą su prieiga prie visos failų sistemos.

Tai didžiulė saugumo spraga, nes įsibrovėliai suteikia tiesioginę prieigą prie apvalkalo (ir galimos prieigos prie visos failų sistemos). Todėl svarbu vieno vartotojo režimą CentOS 7 apsaugoti slaptažodžiu, kaip paaiškinta toliau.

CentOS/RHEL 7 gelbėjimo ir avariniai tikslai (kurie taip pat yra vieno vartotojo režimai) yra slaptažodis apsaugotas pagal numatytuosius nustatymus.

Pavyzdžiui, kai bandote pakeisti target (vykdymo lygis) naudodami systemd į rescue.target (taip pat >emergency.target), jūsų bus paprašyta įvesti root slaptažodį, kaip parodyta toliau pateiktoje ekrano kopijoje.

systemctl isolate rescue.target
OR
systemctl isolate emergency.target

Tačiau, jei įsibrovėlis turi fizinę prieigą prie serverio, jis arba ji gali pasirinkti paleidžiamą branduolį iš grub meniu elemento, paspausdamas klavišą e, kad redaguotų pirmąją įkrovos parinktį.

Branduolio eilutėje, kuri prasideda “linux16“, jis gali pakeisti argumentą ro į “rw init=/sysroot/bin/sh ” ir paleiskite vieno vartotojo režimu CentOS 7, sistemai neprašant šakninio slaptažodžio, net jei eilutė SINGLE=/sbin/sushell pakeista į SINGLE=/sbin/sulogin faile /etc/sysconfig/init.

Taigi vienintelis būdas apsaugoti vieno vartotojo režimą slaptažodžiu sistemoje CentOS 7 yra apsaugoti GRUB slaptažodžiu, naudojant šias instrukcijas.

Kaip apsaugoti „Grub“ slaptažodžiu „CentOS 7“.

Pirmiausia sukurkite tvirtą šifruotą slaptažodį naudodami grub2-setpassword programą, kaip parodyta.

grub2-setpassword

Slaptažodžio maiša saugoma /boot/grub2/user.cfg, o naudotojas, t. y. ”root ” yra apibrėžtas / boot/grub2/grub.cfg, galite peržiūrėti slaptažodį naudodami komandą cat, kaip parodyta.

cat /boot/grub2/user.cfg

Dabar atidarykite failą /boot/grub2/grub.cfg ir ieškokite įkrovos įrašo, kurį norite apsaugoti slaptažodžiu. Jis prasideda nuo menuentry. Suradę įrašą, pašalinkite iš jo parametrą --unrestricted.

Išsaugokite failą ir uždarykite, dabar pabandykite iš naujo paleisti CentOS 7 sistemą ir pakeiskite įkrovos įrašus paspausdami klavišą e. Jūsų bus paprašyta pateikti kredencialus, kaip parodyta.

Viskas. Sėkmingai apsaugote slaptažodžiu CentOS 7 GRUB meniu.