Как защитить однопользовательский режим

Потенциальные атаки

Потенциальные атаки

Это самый простой способ получить несанкционированный доступ к системе Linux, чтобы загрузить сервер в однопользовательский режим потому что по умолчанию не требуется пароль root для доступа к корневому уровню. Доступ к однопользовательскому настрою можно получить, задействуя питание машины и прерывая процесс загрузки. Для загрузки в однопользовательский режим, когда используется загрузчик GRUB, выполните следующее: прервите процесс загрузки, нажмите e, чтобы отредактировать файл конфигурации загрузки, добавьте в строку, начинающуюся с Linux, одну из двух s, S, 1 or systemd. unit=[rescue.target, emergency.target, rescue], чтобы изменить аргумент, передаваемый ядру во время загрузки для загрузки в режим одиночного пользователя, затем нажмите ctrl + x.

Защита от однопользовательского режима

Защита от однопользовательского режима

Когда корень отредактирует файл /etc/sysconfig/init, затем нажмите строка SINGLE=/sbin/sushell изменит значение TO sulogin.

Для системы на основе systemd

Необходимо настроить целевую конфигурацию для запроса пароля root. Цели находятся в /lib/systemd/system, файлы, которые нуждаются в изменении, - emergency.service и rescue.service. Измените начальную строку ExecStart=-/bin/sh –c “/usr/sbin/sushell; ……” и измените /usr/sbin/sushell на /usr/sbin/sulogin как на emergency.service, так и на rescue.service.

Для системы на базе systemd

Затем сохраните изменения и перезагрузитесь, чтобы подтвердить, что изменения повлияли, если изменение было успешным при загрузке в однопользовательский режим, он должен запросить пароль root.

Root Password

] По умолчанию в некоторых дистрибутивах Linux нет корневых наборов паролей, это можно проверить, выполнив команду head -1 /etc/shadow, и если второй столбец, используя двоеточие в качестве разделителя, является восклицательным знаком, тогда пароль не установлен. Если пароль root не установлен, то независимо от того, установлена ​​ли система для запроса пароля для режима одиночного пользователя или нет, он просто загрузит доступ root.

Root Password [ ! d19]

Небезопасные загрузчики могут привести к тому, что загрузчик полностью обойдется, а оболочка будет использоваться для получения прямого доступа к корневому уровню в системе. Это делается путем прерывания процесса загрузки GRUB и добавления init=/bin/bas к началу строки linux16. Это скажет ядру использовать bash вместо init.

Защита от загрузки загрузчика загрузкой

Загрузочный загрузчик GRUB можно защитить паролем, разместив конфигурацию в файле /etc/grub.d/ 40_custom, потому что этот файл не будет затронут обновлениями и обновлениями для загрузчика. В /etc/grub.d/40_custom добавьте set superusers=”admin”, затем пароль admin после этого сохраните и выйдите из файла и запустите следующую команду grub2-mkpasswd-… (разрешите выполнение вкладки, чтобы завершить эту команду, чтобы запустить системный совместимый скрипт), выход этой команды из grub2 , В конце строки password admin в /etc/grub.d/40_custom необходимо добавить в конец строки. После этого файл grub необходимо перекомпилировать, выполнив команду grub2-mkconfig –o /boot/grub2/grub.cfg для centos или update-grub¬ на debian.

Защита от загрузки загрузчика загрузкой

Затем сохраните изменения и перезагрузите, чтобы подтвердить, что изменения повлияли, если изменение было успешным при загрузке и желании изменить (! d27)

Защита от атаки на восстановление

Эти меры могут помочь в защите, однако, если на диске используется восстановление Linux функция на диске может использоваться для монтирования файловой системы и изменения настройки GRUB с диска. Для защиты от любых съемных носителей с более низким приоритетом загрузки, чем загрузочный диск и пароль, защищают меню настроек BIOS и загрузки, чтобы остановить кого-то, у кого нет доступа, изменяющего порядок загрузки и загрузки на диск для внесения изменений в систему.

Потенциальные атаки

Потенциальные атаки

Это самый простой способ получить несанкционированный доступ к системе Linux, чтобы загрузить сервер в однопользовательский режим потому что по умолчанию не требуется пароль root для доступа к корневому уровню. Доступ к однопользовательскому настрою можно получить, задействуя питание машины и прерывая процесс загрузки. Для загрузки в однопользовательский режим, когда используется загрузчик GRUB, выполните следующее: прервите процесс загрузки, нажмите e, чтобы отредактировать файл конфигурации загрузки, добавьте в строку, начинающуюся с Linux, одну из двух s, S, 1 or systemd. unit=[rescue.target, emergency.target, rescue], чтобы изменить аргумент, передаваемый ядру во время загрузки для загрузки в режим одиночного пользователя, затем нажмите ctrl + x.

Защита от однопользовательского режима

Защита от однопользовательского режима

Когда корень отредактирует файл /etc/sysconfig/init, затем нажмите строка SINGLE=/sbin/sushell изменит значение TO sulogin.

Для системы на основе systemd

Необходимо настроить целевую конфигурацию для запроса пароля root. Цели находятся в /lib/systemd/system, файлы, которые нуждаются в изменении, - emergency.service и rescue.service. Измените начальную строку ExecStart=-/bin/sh –c “/usr/sbin/sushell; ……” и измените /usr/sbin/sushell на /usr/sbin/sulogin как на emergency.service, так и на rescue.service.

Для системы на базе systemd

Затем сохраните изменения и перезагрузитесь, чтобы подтвердить, что изменения повлияли, если изменение было успешным при загрузке в однопользовательский режим, он должен запросить пароль root.

Root Password

] По умолчанию в некоторых дистрибутивах Linux нет корневых наборов паролей, это можно проверить, выполнив команду head -1 /etc/shadow, и если второй столбец, используя двоеточие в качестве разделителя, является восклицательным знаком, тогда пароль не установлен. Если пароль root не установлен, то независимо от того, установлена ​​ли система для запроса пароля для режима одиночного пользователя или нет, он просто загрузит доступ root.

Root Password [ ! d19]

Небезопасные загрузчики могут привести к тому, что загрузчик полностью обойдется, а оболочка будет использоваться для получения прямого доступа к корневому уровню в системе. Это делается путем прерывания процесса загрузки GRUB и добавления init=/bin/bas к началу строки linux16. Это скажет ядру использовать bash вместо init.

Защита от загрузки загрузчика загрузкой

Загрузочный загрузчик GRUB можно защитить паролем, разместив конфигурацию в файле /etc/grub.d/ 40_custom, потому что этот файл не будет затронут обновлениями и обновлениями для загрузчика. В /etc/grub.d/40_custom добавьте set superusers=”admin”, затем пароль admin после этого сохраните и выйдите из файла и запустите следующую команду grub2-mkpasswd-… (разрешите выполнение вкладки, чтобы завершить эту команду, чтобы запустить системный совместимый скрипт), выход этой команды из grub2 , В конце строки password admin в /etc/grub.d/40_custom необходимо добавить в конец строки. После этого файл grub необходимо перекомпилировать, выполнив команду grub2-mkconfig –o /boot/grub2/grub.cfg для centos или update-grub¬ на debian.

Защита от загрузки загрузчика загрузкой

Затем сохраните изменения и перезагрузите, чтобы подтвердить, что изменения повлияли, если изменение было успешным при загрузке и желании изменить (! d27)

Защита от атаки на восстановление

Эти меры могут помочь в защите, однако, если на диске используется восстановление Linux функция на диске может использоваться для монтирования файловой системы и изменения настройки GRUB с диска. Для защиты от любых съемных носителей с более низким приоритетом загрузки, чем загрузочный диск и пароль, защищают меню настроек BIOS и загрузки, чтобы остановить кого-то, у кого нет доступа, изменяющего порядок загрузки и загрузки на диск для внесения изменений в систему.

Потенциальные атаки

Потенциальные атаки

Это самый простой способ получить несанкционированный доступ к системе Linux, чтобы загрузить сервер в однопользовательский режим потому что по умолчанию не требуется пароль root для доступа к корневому уровню. Доступ к однопользовательскому настрою можно получить, задействуя питание машины и прерывая процесс загрузки. Для загрузки в однопользовательский режим, когда используется загрузчик GRUB, выполните следующее: прервите процесс загрузки, нажмите e, чтобы отредактировать файл конфигурации загрузки, добавьте в строку, начинающуюся с Linux, одну из двух s, S, 1 or systemd. unit=[rescue.target, emergency.target, rescue], чтобы изменить аргумент, передаваемый ядру во время загрузки для загрузки в режим одиночного пользователя, затем нажмите ctrl + x.

Защита от однопользовательского режима

Защита от однопользовательского режима

Когда корень отредактирует файл /etc/sysconfig/init, затем нажмите строка SINGLE=/sbin/sushell изменит значение TO sulogin.

Для системы на основе systemd

Необходимо настроить целевую конфигурацию для запроса пароля root. Цели находятся в /lib/systemd/system, файлы, которые нуждаются в изменении, - emergency.service и rescue.service. Измените начальную строку ExecStart=-/bin/sh –c “/usr/sbin/sushell; ……” и измените /usr/sbin/sushell на /usr/sbin/sulogin как на emergency.service, так и на rescue.service.

Для системы на базе systemd

Затем сохраните изменения и перезагрузитесь, чтобы подтвердить, что изменения повлияли, если изменение было успешным при загрузке в однопользовательский режим, он должен запросить пароль root.

Root Password

] По умолчанию в некоторых дистрибутивах Linux нет корневых наборов паролей, это можно проверить, выполнив команду head -1 /etc/shadow, и если второй столбец, используя двоеточие в качестве разделителя, является восклицательным знаком, тогда пароль не установлен. Если пароль root не установлен, то независимо от того, установлена ​​ли система для запроса пароля для режима одиночного пользователя или нет, он просто загрузит доступ root.

Root Password [ ! d19]

Небезопасные загрузчики могут привести к тому, что загрузчик полностью обойдется, а оболочка будет использоваться для получения прямого доступа к корневому уровню в системе. Это делается путем прерывания процесса загрузки GRUB и добавления init=/bin/bas к началу строки linux16. Это скажет ядру использовать bash вместо init.

Защита от загрузки загрузчика загрузкой

Загрузочный загрузчик GRUB можно защитить паролем, разместив конфигурацию в файле /etc/grub.d/ 40_custom, потому что этот файл не будет затронут обновлениями и обновлениями для загрузчика. В /etc/grub.d/40_custom добавьте set superusers=”admin”, затем пароль admin после этого сохраните и выйдите из файла и запустите следующую команду grub2-mkpasswd-… (разрешите выполнение вкладки, чтобы завершить эту команду, чтобы запустить системный совместимый скрипт), выход этой команды из grub2 , В конце строки password admin в /etc/grub.d/40_custom необходимо добавить в конец строки. После этого файл grub необходимо перекомпилировать, выполнив команду grub2-mkconfig –o /boot/grub2/grub.cfg для centos или update-grub¬ на debian.

Защита от загрузки загрузчика загрузкой

Затем сохраните изменения и перезагрузите, чтобы подтвердить, что изменения повлияли, если изменение было успешным при загрузке и желании изменить (! d27)

Защита от атаки на восстановление

Эти меры могут помочь в защите, однако, если на диске используется восстановление Linux функция на диске может использоваться для монтирования файловой системы и изменения настройки GRUB с диска. Для защиты от любых съемных носителей с более низким приоритетом загрузки, чем загрузочный диск и пароль, защищают меню настроек BIOS и загрузки, чтобы остановить кого-то, у кого нет доступа, изменяющего порядок загрузки и загрузки на диск для внесения изменений в систему.