Az egyfelhasználós mód jelszavas védelme a CentOS 7 rendszerben
Egyik korábbi cikkünkben leírtuk, hogyan indíthatunk egyfelhasználós módba a CentOS 7 rendszeren. Ezt „karbantartási módnak” is nevezik, ahol a Linux csak néhány szolgáltatást indít el az alapvető funkciókhoz. egyetlen felhasználó (általában szuperfelhasználó) hajt végre bizonyos adminisztrációs feladatokat, például az fsck használatával a sérült fájlrendszereket.
Egyfelhasználós módban a rendszer egy egyfelhasználós shellt hajt végre, ahol bejelentkezési hitelesítő adatok (felhasználónév és jelszó) nélkül futtathat parancsokat, így közvetlenül egy korlátozott shellbe kerül, amely hozzáféréssel rendelkezik a teljes fájlrendszerhez.
Ez egy hatalmas biztonsági rés, mivel közvetlen hozzáférést biztosít a behatolóknak egy shellhez (és lehetséges hozzáférést biztosít a teljes fájlrendszerhez). Ezért fontos jelszóval védeni az egyfelhasználós módot a CentOS 7 rendszeren az alábbiak szerint.
A CentOS/RHEL 7 rendszerben a mentési és vészhelyzeti célok (amelyek szintén egyfelhasználós módok) a jelszó alapértelmezés szerint védett.
Például amikor megpróbálja módosítani a célt (futási szint) a systemd segítségével rescue.target-re (és >emergency.target), a rendszer kérni fog egy root jelszót, ahogy az a következő képernyőképen látható.
systemctl isolate rescue.target
OR
systemctl isolate emergency.target
Ha azonban egy behatoló fizikailag hozzáfér egy kiszolgálóhoz, kiválaszthatja a rendszermagot a grub menüből az e
billentyű megnyomásával az első rendszerindítási opció szerkesztéséhez.
A „linux16“
karakterlánccal kezdődő kernelsorban módosíthatja a ro
argumentumot “rw init=/sysroot/bin/sh”
értékre. , és indítsa el a rendszert egyfelhasználós módban a CentOS 7 rendszeren anélkül, hogy a rendszer root jelszót kérne, még akkor is, ha a SINGLE=/sbin/sushell
sor a értékre változik >SINGLE=/sbin/sulogin
az /etc/sysconfig/init fájlban.
Tehát az egyfelhasználós mód jelszavas védelmének egyetlen módja a CentOS 7ben az, hogy a GRUB-t jelszóval védi a következő utasítások szerint.
Hogyan védjük jelszavasan a Grubot a CentOS 7 rendszerben
Először hozzon létre egy erős titkosított jelszót a grub2-setpassword segédprogrammal, az ábra szerint.
grub2-setpassword
A jelszó kivonatát a /boot/grub2/user.cfg fájl tárolja, a user, azaz a ”root ” a / boot/grub2/grub.cfg fájlt, megtekintheti a jelszót a cat paranccsal az ábra szerint.
cat /boot/grub2/user.cfg
Most nyissa meg a /boot/grub2/grub.cfg fájlt, és keresse meg a jelszóval védeni kívánt rendszerindítási bejegyzést, amely a menuentry
karakterlánccal kezdődik. Miután megtalálta a bejegyzést, távolítsa el belőle a --unrestricted
paramétert.
Mentse el a fájlt, zárja be, most próbálja meg újraindítani a CentOS 7 rendszert, és módosítsa a rendszerindítási bejegyzéseket az e
billentyű lenyomásával. Ekkor a rendszer felkéri a hitelesítési adatok megadására az ábrán látható módon.
Ez az. Sikeresen jelszóval védte CentOS 7 GRUB-menüjét.