Weboldal keresés

Az egyfelhasználós mód jelszavas védelme a CentOS 7 rendszerben


Egyik korábbi cikkünkben leírtuk, hogyan indíthatunk egyfelhasználós módba a CentOS 7 rendszeren. Ezt „karbantartási módnak” is nevezik, ahol a Linux csak néhány szolgáltatást indít el az alapvető funkciókhoz. egyetlen felhasználó (általában szuperfelhasználó) hajt végre bizonyos adminisztrációs feladatokat, például az fsck használatával a sérült fájlrendszereket.

Egyfelhasználós módban a rendszer egy egyfelhasználós shellt hajt végre, ahol bejelentkezési hitelesítő adatok (felhasználónév és jelszó) nélkül futtathat parancsokat, így közvetlenül egy korlátozott shellbe kerül, amely hozzáféréssel rendelkezik a teljes fájlrendszerhez.

Ez egy hatalmas biztonsági rés, mivel közvetlen hozzáférést biztosít a behatolóknak egy shellhez (és lehetséges hozzáférést biztosít a teljes fájlrendszerhez). Ezért fontos jelszóval védeni az egyfelhasználós módot a CentOS 7 rendszeren az alábbiak szerint.

A CentOS/RHEL 7 rendszerben a mentési és vészhelyzeti célok (amelyek szintén egyfelhasználós módok) a jelszó alapértelmezés szerint védett.

Például amikor megpróbálja módosítani a célt (futási szint) a systemd segítségével rescue.target-re (és >emergency.target), a rendszer kérni fog egy root jelszót, ahogy az a következő képernyőképen látható.

systemctl isolate rescue.target
OR
systemctl isolate emergency.target

Ha azonban egy behatoló fizikailag hozzáfér egy kiszolgálóhoz, kiválaszthatja a rendszermagot a grub menüből az e billentyű megnyomásával az első rendszerindítási opció szerkesztéséhez.

A „linux16“ karakterlánccal kezdődő kernelsorban módosíthatja a ro argumentumot “rw init=/sysroot/bin/sh” értékre. , és indítsa el a rendszert egyfelhasználós módban a CentOS 7 rendszeren anélkül, hogy a rendszer root jelszót kérne, még akkor is, ha a SINGLE=/sbin/sushell sor a értékre változik >SINGLE=/sbin/sulogin az /etc/sysconfig/init fájlban.

Tehát az egyfelhasználós mód jelszavas védelmének egyetlen módja a CentOS 7ben az, hogy a GRUB-t jelszóval védi a következő utasítások szerint.

Hogyan védjük jelszavasan a Grubot a CentOS 7 rendszerben

Először hozzon létre egy erős titkosított jelszót a grub2-setpassword segédprogrammal, az ábra szerint.

grub2-setpassword

A jelszó kivonatát a /boot/grub2/user.cfg fájl tárolja, a user, azaz a ”root ” a / boot/grub2/grub.cfg fájlt, megtekintheti a jelszót a cat paranccsal az ábra szerint.

cat /boot/grub2/user.cfg

Most nyissa meg a /boot/grub2/grub.cfg fájlt, és keresse meg a jelszóval védeni kívánt rendszerindítási bejegyzést, amely a menuentry karakterlánccal kezdődik. Miután megtalálta a bejegyzést, távolítsa el belőle a --unrestricted paramétert.

Mentse el a fájlt, zárja be, most próbálja meg újraindítani a CentOS 7 rendszert, és módosítsa a rendszerindítási bejegyzéseket az e billentyű lenyomásával. Ekkor a rendszer felkéri a hitelesítési adatok megadására az ábrán látható módon.

Ez az. Sikeresen jelszóval védte CentOS 7 GRUB-menüjét.