Kuidas kaitsta parooli ühe kasutaja režiimis CentOS 7-s


Ühes oma varasemas artiklis kirjeldasime, kuidas käivitada CentOS 7-s ühe kasutaja režiimi. See on tuntud ka kui "hooldusrežiim", kus Linux käivitab ainult mõned teenused põhifunktsioonide jaoks, et võimaldada ühel kasutajal (tavaliselt superkasutaja) täita teatud haldusülesandeid, näiteks fscki kasutamine rikutud failisüsteemide parandamiseks.

Ühe kasutaja režiimis käivitab süsteem ühe kasutaja kest, kus saate käske käivitada ilma sisselogimistunnusteta (kasutajanimi ja parool), maandute otse piiratud kestas, millel on juurdepääs kogu failisüsteemile.

See on tohutu turvaauk, kuna see annab sissetungijatele otsese juurdepääsu kestale (ja võimaliku juurdepääsu kogu failisüsteemile). Seetõttu on oluline ühe kasutaja režiimi parooliga kaitsta CentOS 7-s, nagu allpool selgitatud.

CentOS/RHEL 7-s on pääste- ja hädaabi sihtmärgid (mis on ka ühe kasutaja režiimid) vaikimisi parooliga kaitstud.

Näiteks kui proovite systemd kaudu sihtmärki (jooksutaset) muuta failiks rescue.target (ka hädaabi.target), küsitakse teilt juurparooli, nagu on näidatud järgmisel ekraanipildil.

# systemctl isolate rescue.target
OR
# systemctl isolate emergency.target

Kui sissetungijal on serverile füüsiline juurdepääs, saab ta grubimenüüst valida käivitamiseks kerneli, vajutades esimese käivitamisvaliku muutmiseks klahvi e .

Koodireal, mis algab tähega \"linux16 \" , saab ta muuta argumendi ro väärtuseks \"rw init =/sysroot/bin/sh ” ja käivitage CentOS 7-s ühe kasutaja režiimi ilma süsteemi parooli küsimata, isegi kui rida SINGLE =/sbin/sushell muudetakse väärtuseks SINGLE =/sbin/sulogin failis/etc/sysconfig/init.

Niisiis, ainus viis ühe kasutaja režiimi parooliga kaitsta CentOS 7-s on GRUB-i parooliga kaitsmine järgmiste juhiste abil.

Kuidas kaitsta Grubi parooliga CentOS 7-s

Kõigepealt looge tugev krüptitud parool, kasutades grub2-setpassword utiliiti, nagu näidatud.

# grub2-setpassword

Parooli räsi on salvestatud kataloogi /boot/grub2/user.cfg ja kasutaja, st "root" on määratletud failis /boot/grub2/grub.cfg, saate parooli vaadata kassi käsu abil, nagu näidatud.

# cat /boot/grub2/user.cfg

Nüüd avage fail /boot/grub2/grub.cfg ja otsige alglaadimiskirjet, mida soovite parooliga kaitsta, see algab tähega menuentry . Kui kirje on leitud, eemaldage sellest parameeter --unrestricted .

Salvestage fail ja sulgege, proovige nüüd süsteem CentOS 7 taaskäivitada ja alglaadimiskirjeid muuta, vajutades klahvi e . Teil palutakse esitada mandaat, nagu näidatud.

See on kõik. Olete oma CentOS 7 GRUB-menüü parooliga edukalt kaitsnud.