Kā ar paroli aizsargāt viena lietotāja režīmu CentOS 7

Vienā no mūsu iepriekšējiem rakstiem mēs aprakstījām, kā palaist viena lietotāja režīmā CentOS 7. Tas ir arī pazīstams kā “uzturēšanas režīms”, kur Linux sāk tikai dažus pakalpojumus pamata funkcionalitātei, lai ļautu vienam lietotājam (parasti superlietotājam). ) veic noteiktus administratīvos uzdevumus, piemēram, fsck izmantošanu bojātu failu sistēmu labošanai.

Viena lietotāja režīmā sistēma izpilda viena lietotāja čaulu, kurā jūs varat palaist komandas bez jebkādiem pieteikšanās akreditācijas datiem (lietotājvārds un parole), jūs nolaižaties tieši ierobežotā čaulā ar piekļuvi visai failu sistēmai.

Šī ir milzīga drošības caurums, jo tas ļauj iebrucējiem tieši piekļūt čaulai (un iespējamu piekļuvi visai failu sistēmai). Tāpēc ir svarīgi ar paroli aizsargāt viena lietotāja režīmu CentOS 7, kā paskaidrots tālāk.

CentOS/RHEL 7 glābšanas un avārijas mērķi (kas ir arī viena lietotāja režīmi) pēc noklusējuma ir aizsargāti ar paroli.

Piemēram, mēģinot mainīt mērķi (izpildes līmeni), izmantojot systemd, lai glābtu.target (arī ārkārtas.target), jums tiks lūgts ievadīt saknes paroli, kā parādīts nākamajā ekrānuzņēmumā.

# systemctl isolate rescue.target
OR
# systemctl isolate emergency.target

Tomēr, ja iebrucējam ir fiziska piekļuve serverim, viņš vai viņa var atlasīt sāknēšanas kodolu no grub izvēlnes vienuma, nospiežot taustiņu e , lai rediģētu pirmo sāknēšanas opciju.

Kodola rindā, kas sākas ar “linux16“ , viņš/viņa var mainīt argumentu ro uz “rw init =/sysroot/bin/sh” un palaidiet CentOS 7 viena lietotāja režīmā, sistēmai neprasot root paroli, pat ja rindiņa SINGLE =/sbin/sushell tiek mainīta uz SINGLE =/sbin/sulogin failā/etc/sysconfig/init.

Tātad vienīgais veids, kā CentOS 7 aizsargāt viena lietotāja režīmu ar paroli, ir GRUB aizsardzība ar paroli, izmantojot šīs instrukcijas.

Kā ar paroli aizsargāt Grub CentOS 7

Vispirms izveidojiet spēcīgu šifrētu paroli, izmantojot grub2-setpassword utilītu, kā parādīts.

# grub2-setpassword

Paroles hash ir saglabāts mapē /boot/grub2/user.cfg un lietotājs, t.i., “root” ir definēts failā /boot/grub2/grub.cfg, paroli var apskatīt, izmantojot cat komandu, kā parādīts.

# cat /boot/grub2/user.cfg

Tagad atveriet /boot/grub2/grub.cfg failu un meklējiet sāknēšanas ierakstu, kuru vēlaties aizsargāt ar paroli, tas sākas ar menuentry . Kad ieraksts ir atrasts, noņemiet no tā parametru --robežots .

Saglabājiet failu un aizveriet, tagad mēģiniet atsāknēt CentOS 7 sistēmu un modificēt sāknēšanas ierakstus, nospiežot taustiņu e , jums tiks lūgts norādīt akreditācijas datus, kā parādīts.

Tieši tā. Jūs esat veiksmīgi paroli aizsargājis savu CentOS 7 GRUB izvēlni.