Cum să protejați cu parolă modul utilizator unic în CentOS 7

Într-unul dintre articolele noastre anterioare, am descris cum să porniți în modul utilizator unic pe CentOS 7. Este cunoscut și sub numele de „modul de întreținere”, unde Linux pornește doar câteva servicii pentru funcționalitatea de bază. permite unui singur utilizator (de obicei un superutilizator) să efectueze anumite sarcini administrative, cum ar fi utilizarea fsck pentru a repara sistemele de fișiere corupte.

În modul utilizator unic, sistemul execută un shell cu un singur utilizator în care puteți rula comenzi fără acreditări de conectare (nume de utilizator și parolă), ajungeți direct într-un shell limitat cu acces la întregul sistem de fișiere.

Aceasta este o gaură masivă de securitate, deoarece oferă intrușilor acces direct la un shell (și posibil acces la întregul sistem de fișiere). Prin urmare, este important să protejați cu parolă modul utilizator unic pe CentOS 7, așa cum este explicat mai jos.

În CentOS/RHEL 7, țintele de salvare și țintele de urgență (care sunt, de asemenea, moduri pentru un singur utilizator) sunt parole protejat implicit.

De exemplu, când încercați să schimbați target (runlevel) prin systemd în rescue.target (de asemenea, >emergency.target), vi se va cere o parolă de root, așa cum se arată în următoarea captură de ecran.

# systemctl isolate rescue.target
OR
# systemctl isolate emergency.target

Cu toate acestea, dacă un intrus are acces fizic la un server, el sau ea poate selecta un nucleu pentru a porni din elementul de meniu grub apăsând tasta e pentru a edita prima opțiune de pornire.

Pe linia de nucleu care începe cu \linux16\, el/ea poate schimba argumentul ro în \rw init=/sysroot/bin/ sh” și porniți în modul utilizator unic pe CentOS 7 fără ca sistemul să solicite o parolă de root, chiar dacă linia SINGLE=/sbin/sushell este schimbată la SINGLE=/sbin/sulogin în fișierul /etc/sysconfig/init.

Prin urmare, singura modalitate de a proteja cu parolă modul utilizator unic în CentOS 7 este să protejați GRUB cu parolă utilizând următoarele instrucțiuni.

Cum se protejează cu parolă Grub în CentOS 7

Mai întâi creați o parolă criptată puternică folosind utilitarul grub2-setpassword, așa cum se arată.

# grub2-setpassword

Hash pentru parolă este stocat în /boot/grub2/user.cfg, iar utilizatorul, adică„rădăcină” este definit în / boot/grub2/grub.cfg, puteți vizualiza parola folosind comanda cat, așa cum se arată.

# cat /boot/grub2/user.cfg

Acum deschideți fișierul /boot/grub2/grub.cfg și căutați intrarea de pornire pe care doriți să o protejați cu parolă, începe cu menuentry. Odată ce intrarea este localizată, eliminați parametrul --unrestricted din aceasta.

Salvați fișierul și închideți, acum încercați să reporniți sistemul CentOS 7 și să modificați intrările de pornire apăsând tasta e, vi se va cere să furnizați acreditările așa cum se arată.

Asta este. Ați protejat cu succes prin parolă meniul GRUB CentOS 7.