Kako zaštititi lozinkom mod za jednog korisnika u CentOS 7


U jednom od naših ranijih članaka opisali smo kako pokrenuti jednokorisnički način rada na CentOS-u 7. Također je poznat i kao “način održavanja”, gdje Linux pokreće samo nekoliko servisa za osnovnu funkcionalnost kako bi omogućio jedan korisnik (obično superkorisnik) obavlja određene administrativne zadatke kao što je korištenje fsck za popravku oštećenih sistema datoteka.

U režimu jednog korisnika, sistem izvršava ljusku za jednog korisnika u kojoj možete pokrenuti komande bez ikakvih akreditiva za prijavu (korisničko ime i lozinka), dolazite direktno u ograničenu ljusku s pristupom cijelom sistemu datoteka.

Ovo je ogromna sigurnosna rupa jer uljezima daje direktan pristup ljusci (i mogući pristup cijelom sistemu datoteka). Stoga je važno zaštititi lozinkom način rada jednog korisnika na CentOS 7 kao što je objašnjeno u nastavku.

U CentOS/RHEL 7, spasilački i hitni ciljevi (koji su također jednokorisnički načini) su lozinka zaštićeno po defaultu.

Na primjer, kada pokušate promijeniti cilj (runlevel) putem systemd u rescue.target (također emergency.target), od vas će se tražiti root lozinka kao što je prikazano na sljedećem snimku ekrana.

systemctl isolate rescue.target
OR
systemctl isolate emergency.target

Međutim, ako uljez ima fizički pristup serveru, on ili ona može odabrati kernel za pokretanje iz stavke menija grub pritiskom na tipku e da uredi prvu opciju pokretanja.

Na liniji kernela koja počinje sa “linux16“, on/ona može promijeniti argument ro u “rw init=/sysroot/bin/sh ” i pokrenite se u jednokorisnički način na CentOS 7 bez da sistem traži root lozinku, čak i ako je red SINGLE=/sbin/sushell promijenjen u SINGLE=/sbin/sulogin u datoteci /etc/sysconfig/init.

Dakle, jedini način da zaštitite jednokorisnički način rada lozinkom u CentOS 7 je da zaštitite GRUB lozinkom koristeći sljedeće upute.

Kako zaštititi Grub lozinkom u CentOS 7

Prvo kreirajte jaku šifrovanu lozinku koristeći grub2-setpassword uslužni program kao što je prikazano.

grub2-setpassword

Hash za lozinku je pohranjen u /boot/grub2/user.cfg i korisnik tj. ”root ” je definiran u / boot/grub2/grub.cfg, možete pogledati lozinku koristeći cat komandu kao što je prikazano.

cat /boot/grub2/user.cfg

Sada otvorite datoteku /boot/grub2/grub.cfg i potražite unos za pokretanje koji želite da zaštitite lozinkom, počinje sa menuentry. Kada se unos pronađe, uklonite parametar --unrestricted iz njega.

Sačuvajte datoteku i zatvorite, sada pokušajte da restartujete CentOS 7 sistem i izmenite unose za pokretanje pritiskom na taster e, od vas će se tražiti da unesete akreditive kao što je prikazano.

To je to. Uspješno ste zaštitili lozinkom svoj CentOS 7 GRUB-meni.