Com protegir amb contrasenya el mode d'usuari únic a CentOS 7

En un dels nostres articles anteriors, vam descriure com arrencar en mode d'usuari únic a CentOS 7. També es coneix com a \mode de manteniment, on Linux només inicia un grapat de serveis per a la funcionalitat bàsica per permetre a un sol usuari (normalment un superusuari) realitza determinades tasques administratives, com ara utilitzar fsck per reparar sistemes de fitxers danyats.

En mode d'usuari únic, el sistema executa un intèrpret d'ordres d'usuari únic on podeu executar ordres sense cap credencial d'inici de sessió (nom d'usuari i contrasenya), aterra directament a un intèrpret d'ordres limitat amb accés a tot el sistema de fitxers.

Aquest és un forat de seguretat massiu, ja que ofereix als intrusos accés directe a un shell (i possible accés a tot el sistema de fitxers). Per tant, és important protegir amb contrasenya el mode d'usuari únic a CentOS 7, tal com s'explica a continuació.

A CentOS/RHEL 7, els objectius de rescat i emergència (que també són modes d'usuari únic) estan protegits amb contrasenya de manera predeterminada.

Per exemple, quan intenteu canviar l'objectiu (nivell d'execució) mitjançant systemd a rescue.target (també emergency.target), se us demanarà una contrasenya d'arrel tal com es mostra a la captura de pantalla següent.

# systemctl isolate rescue.target
OR
# systemctl isolate emergency.target

Tanmateix, si un intrús té accés físic a un servidor, pot seleccionar un nucli per arrencar des de l'element del menú grub prement la tecla e per editar la primera opció d'arrencada.

A la línia del nucli que comença amb \linux16\, ell/ella pot canviar l'argument ro a \rw init=/sysroot/bin/ sh” i arrenqueu en mode d'usuari únic a CentOS 7 sense que el sistema demani una contrasenya d'arrel, fins i tot si la línia SINGLE=/sbin/sushell es canvia a SINGLE=/ sbin/sulogin al fitxer /etc/sysconfig/init.

Per tant, l'única manera de protegir amb contrasenya el mode d'usuari únic a CentOS 7 és protegir GRUB amb contrasenya mitjançant les instruccions següents.

Com protegir amb contrasenya Grub a CentOS 7

Primer creeu una contrasenya xifrada segura mitjançant la utilitat grub2-setpassword tal com es mostra.

# grub2-setpassword

El hash de la contrasenya s'emmagatzema a /boot/grub2/user.cfg i l'usuari, és a dir, root es defineix al fitxer /boot/grub2/grub.cfg, podeu veure la contrasenya mitjançant l'ordre cat com es mostra.

# cat /boot/grub2/user.cfg

Ara obriu el fitxer /boot/grub2/grub.cfg i cerqueu l'entrada d'arrencada que voleu protegir amb contrasenya, comença amb menuentry. Un cop localitzada l'entrada, traieu-ne el paràmetre --unrestricted.

Deseu el fitxer i tanqueu-lo, ara intenteu reiniciar el sistema CentOS 7 i modifiqueu les entrades d'arrencada prement la tecla e, se us demanarà que proporcioneu les credencials tal com es mostra.

Això és. Heu protegit amb contrasenya el vostre menú GRUB de CentOS 7.