Как я могу защитить от однопользовательского режима

Question 1

Привет я задавался вопросом, как я мог защитить от однопользовательского режима и для init и для systemd

Question 2

Потенциальные атаки

Однопользовательский режим

Это - самый легкий способ получить несанкционированный доступ к системе Linux, должен загрузить сервер в Однопользовательский режим, потому что это, по умолчанию, не требует, чтобы пароль root получил корневой доступ уровня. К Настроению Отдельного пользователя можно получить доступ путем цикла включения и выключения питания машины и прерывания процесса начальной загрузки. Для начальной загрузки в однопользовательский режим, где загрузчик GRUB используется, выполняют следующее; прервите процесс начальной загрузки, нажмите e, чтобы отредактировать файл загрузочной конфигурации, добавить к запуску строки Linux один из также s, S, 1 or systemd. unit=[rescue.target, emergency.target, rescue] для изменения аргумента, передаваемого ядру во время начальной загрузки для начальной загрузки в Однопользовательский режим, затем нажмите ctrl+x.

Защита от однопользовательского режима

Поскольку традиционный init основывал систему

Как корень редактируют файл /etc/sysconfig/init затем на строке SINGLE=/sbin/sushell измените sushell НА sulogin.

Поскольку systemd основывал систему

Целевая конфигурация должна быть изменена, чтобы пароль root был запрошен. Цели расположены в /lib/systemd/system файлы, которым нужно изменение, emergency.service и rescue.service. Измените запуск строки ExecStart=-/bin/sh –c “/usr/sbin/sushell; ……” и изменение /usr/sbin/sushell кому:/usr/sbin/sulogin в обоих emergency.service и rescue.service.

Проверять это взяло влияние

Затем сохраните изменения и перезагрузку, чтобы подтвердить, что изменение взяло влияние, если изменение было успехом при начальной загрузке в однопользовательский режим, это должно попросить пароль root.

Пароль root

По умолчанию некоторые дистрибутивы Linux не имеют наборов пароля root, это может быть проверено путем выполнения команды head -1 /etc/shadow и если второй столбец, с помощью двоеточия в качестве разделителя, является восклицательным знаком затем, никакой пароль не был установлен. Если никакой пароль root не будет установлен, то независимо от того, если система установлена запросить пароль для Однопользовательского режима или не, это просто загрузит корневой доступ.

Обеспечение загрузчика

Небезопасные загрузчики могут привести к загрузчику, обойденному полностью и оболочка, используемая для получения прямого корневого доступа уровня к системе. Это сделано путем прерывания процесса начальной загрузки GRUB и добавления init=/bin/bas к началу строки linux16. Это скажет ядру использовать удар вместо init.

Защита от загрузки стороны загрузчика

Загрузчик GRUB может быть защищен паролем путем размещения конфигурации в/etc/grub.d/40_custom файл, потому что этот файл останется, ООН затронула обновлениями и обновлениями загрузчика. В /etc/grub.d/40_custom добавить set superusers=”admin” затем администратор пароля после того сохранения и выхода файл и выполненный следующая команда grub2-mkpasswd-… (позвольте заполнению клавишей Tab заканчивать эту команду так, чтобы система совместимый сценарий была выполнена), вывод этой команды от grub2. Вперед потребность, которая будет добавлена в конец строки password admin в /etc/grub.d/40_custom. После этого файл личинки должен быть перекомпилирован путем выполнения команды grub2-mkconfig –o /boot/grub2/grub.cfg для песней или update-grub¬ на debian.

Проверять это взяло влияние

Затем сохраните изменения и перезагрузку, чтобы подтвердить, что изменение взяло влияние, если изменение было успехом при начальной загрузке, и желая изменить настройки личинки необходимо будет предоставить администратора имени пользователя и зашифрованный пароль.

Защита от нападения восстановления

Эти меры могут помочь в защите однако, если диск используется, восстановить функция Linux на диске может быть использована, чтобы смонтировать файловую систему и изменить GRUB, сходящий с диска. Для защиты от заставляют любые съемные носители иметь более низкий приоритет загрузки, чем загрузочный диск и пароль защищают BIOS и меню параметра загрузки для остановки кого-то, у кого нет доступа, изменяющего порядок загрузки и загружающегося в диск для внесения изменений в систему.

Connor Payne · Accepted Answer · 23 November 2019 в 08:50

Потенциальные атаки

Однопользовательский режим

Это - самый легкий способ получить несанкционированный доступ к системе Linux, должен загрузить сервер в Однопользовательский режим, потому что это, по умолчанию, не требует, чтобы пароль root получил корневой доступ уровня. К Настроению Отдельного пользователя можно получить доступ путем цикла включения и выключения питания машины и прерывания процесса начальной загрузки. Для начальной загрузки в однопользовательский режим, где загрузчик GRUB используется, выполняют следующее; прервите процесс начальной загрузки, нажмите e, чтобы отредактировать файл загрузочной конфигурации, добавить к запуску строки Linux один из также s, S, 1 or systemd. unit=[rescue.target, emergency.target, rescue] для изменения аргумента, передаваемого ядру во время начальной загрузки для начальной загрузки в Однопользовательский режим, затем нажмите ctrl+x.

Защита от однопользовательского режима

Поскольку традиционный init основывал систему

Как корень редактируют файл /etc/sysconfig/init затем на строке SINGLE=/sbin/sushell измените sushell НА sulogin.

Поскольку systemd основывал систему

Целевая конфигурация должна быть изменена, чтобы пароль root был запрошен. Цели расположены в /lib/systemd/system файлы, которым нужно изменение, emergency.service и rescue.service. Измените запуск строки ExecStart=-/bin/sh –c “/usr/sbin/sushell; ……” и изменение /usr/sbin/sushell кому:/usr/sbin/sulogin в обоих emergency.service и rescue.service.

Проверять это взяло влияние

Затем сохраните изменения и перезагрузку, чтобы подтвердить, что изменение взяло влияние, если изменение было успехом при начальной загрузке в однопользовательский режим, это должно попросить пароль root.

Пароль root

По умолчанию некоторые дистрибутивы Linux не имеют наборов пароля root, это может быть проверено путем выполнения команды head -1 /etc/shadow и если второй столбец, с помощью двоеточия в качестве разделителя, является восклицательным знаком затем, никакой пароль не был установлен. Если никакой пароль root не будет установлен, то независимо от того, если система установлена запросить пароль для Однопользовательского режима или не, это просто загрузит корневой доступ.

Обеспечение загрузчика

Небезопасные загрузчики могут привести к загрузчику, обойденному полностью и оболочка, используемая для получения прямого корневого доступа уровня к системе. Это сделано путем прерывания процесса начальной загрузки GRUB и добавления init=/bin/bas к началу строки linux16. Это скажет ядру использовать удар вместо init.

Защита от загрузки стороны загрузчика

Загрузчик GRUB может быть защищен паролем путем размещения конфигурации в/etc/grub.d/40_custom файл, потому что этот файл останется, ООН затронула обновлениями и обновлениями загрузчика. В /etc/grub.d/40_custom добавить set superusers=”admin” затем администратор пароля после того сохранения и выхода файл и выполненный следующая команда grub2-mkpasswd-… (позвольте заполнению клавишей Tab заканчивать эту команду так, чтобы система совместимый сценарий была выполнена), вывод этой команды от grub2. Вперед потребность, которая будет добавлена в конец строки password admin в /etc/grub.d/40_custom. После этого файл личинки должен быть перекомпилирован путем выполнения команды grub2-mkconfig –o /boot/grub2/grub.cfg для песней или update-grub¬ на debian.

Проверять это взяло влияние

Затем сохраните изменения и перезагрузку, чтобы подтвердить, что изменение взяло влияние, если изменение было успехом при начальной загрузке, и желая изменить настройки личинки необходимо будет предоставить администратора имени пользователя и зашифрованный пароль.

Защита от нападения восстановления

Эти меры могут помочь в защите однако, если диск используется, восстановить функция Linux на диске может быть использована, чтобы смонтировать файловую систему и изменить GRUB, сходящий с диска. Для защиты от заставляют любые съемные носители иметь более низкий приоритет загрузки, чем загрузочный диск и пароль защищают BIOS и меню параметра загрузки для остановки кого-то, у кого нет доступа, изменяющего порядок загрузки и загружающегося в диск для внесения изменений в систему.

Как я могу защитить от однопользовательского режима

1 ответ

Другие вопросы по тегам:

Похожие вопросы: