Kako zaštititi lozinkom način rada za jednog korisnika u CentOS 7

U jednom od naših ranijih članaka opisali smo kako pokrenuti sustav s jednim korisnikom na CentOS-u 7. Poznat je i pod nazivom "način održavanja", gdje Linux pokreće samo nekoliko usluga za osnovnu funkcionalnost kako bi omogućio jednom korisniku (obično superkorisniku) ) izvode određene administrativne zadatke, poput korištenja fsck-a za popravak oštećenih datotečnih sustava.

U jednokorisničkom načinu, sustav izvršava jednokorisničku ljusku gdje možete pokretati naredbe bez ikakvih vjerodajnica za prijavu (korisničko ime i lozinka), sletite ravno u ograničenu ljusku s pristupom cijelom datotečnom sustavu.

Ovo je ogromna sigurnosna rupa jer uljezima omogućuje izravan pristup ljusci (i mogući pristup cijelom datotečnom sustavu). Stoga je važno zaštititi jednokratnim korisničkim načinom rada na CentOS 7 kako je objašnjeno u nastavku.

U CentOS/RHEL 7 ciljevi za spašavanje i hitne slučajeve (koji su ujedno i jednokorisnički načini) prema zadanim postavkama zaštićeni su lozinkom.

Na primjer, kada pokušate promijeniti cilj (nivo pokretanja) putem systemd u rescue.target (također urgent.target), od vas će se zatražiti root lozinka kao što je prikazano na sljedećem snimku zaslona.

# systemctl isolate rescue.target
OR
# systemctl isolate emergency.target

Međutim, ako uljez ima fizički pristup poslužitelju, on ili ona može odabrati jezgru za pokretanje iz stavke izbornika grub pritiskom na tipku e za uređivanje prve mogućnosti pokretanja.

Na liniji jezgre koja započinje s "linux16" , on/ona može promijeniti argument ro u "rw init =/sysroot/bin/sh" i pokrenite se u jednokorisnički način rada na CentOS 7, a da sustav ne traži root lozinku, čak i ako se linija SINGLE =/sbin/sushell promijeni u SINGLE =/sbin/sulogin u datoteci/etc/sysconfig/init.

Dakle, jedini način za zaštitu lozinke za jednog korisnika u CentOS 7 je zaštita GRUB-a lozinkom koristeći sljedeće upute.

Kako zaštititi grub lozinkom u CentOS 7

Prvo stvorite snažnu šifriranu lozinku pomoću uslužnog programa grub2-setpassword kao što je prikazano.

# grub2-setpassword

Hash za lozinku pohranjen je u /boot/grub2/user.cfg & user tj. "Root" je definiran u datoteci /boot/grub2/grub.cfg, lozinku možete pregledati pomoću naredbe cat, kao što je prikazano.

# cat /boot/grub2/user.cfg

Sada otvorite /boot/grub2/grub.cfg datoteku i potražite unos pokretanja koji želite zaštititi lozinkom, započinje s menuentry . Nakon što se unos pronađe, uklonite parametar --unrestricted iz njega.

Spremite datoteku i zatvorite, a zatim pokušajte ponovno pokrenuti sustav CentOS 7 i izmijeniti unose za pokretanje pritiskom na tipku e , od vas će se zatražiti da unesete vjerodajnice kao što je prikazano.

To je to. Uspješno ste zaštitili svoj CentOS 7 GRUB-izbornik lozinkom.