在之前的博文中曾介紹過linux中的單使用者模式,單使用者模式類似於windows中的winpe,可以繞過系統的諸多限制來對系統進行配置,比如修改root使用者密碼等。單使用者模式的使用參見博文
單使用者模式的風險也是顯而易見的,如果任何人都可以隨意進入單使用者模式,而linux伺服器又無法保證物理安全的話,那麼還是存在很大的安全隱患。因而在生產環境中經常需要為grub引導選單設定密碼,通過grub密碼阻止非授權使用者進入單使用者模式,從而增強系統安全性。
另外,如果直接對grub進行明文加密也是非常不安全的,所以就要使用md5演算法對密碼進行加密,相關命令是grub-md5-crypt。
例:利用grub-md5-crypt命令生成經md5加密後的密碼。
[root@localhost ~]#grub-md5-crypt
password:
retype password:
$1$kjvbu1$7dd4ct8hjiyq0j/y0o/mn0
下面來修改grub的配置檔案/etc/grub.conf,這裡要用到password引數。
將剛才生成的md5密文複製下來,再按照「password –md5 md5密文」的格式在grub.conf檔案中設定密碼。密碼可以放在grub.conf檔案中的任意位置,但放在不同的位置就會在不同的時刻生效,比如將密碼放在default引數所在行的上方,就會在bios自檢之後、grub引導之前就要求輸入密碼,也就是每次系統啟動或重啟時都會要求輸入密碼。在生產環境中一般都是將密碼放置在title引數所在行的上方,這樣只有當使用者要進入grub引導選單時才會要求輸入密碼。
例:為grub設定引導選單密碼。
修改完grub.conf檔案之後,將系統重啟,再次進入grub引導選單時會出現下圖所示的提示,要求使用者按「p」鍵輸入密碼。
輸入正確密碼之後,就可以進入grub引導選單了。
網路安全系列之十四 在Linux中設定UMASK值
umask值用於設定使用者在建立檔案時的預設許可權,當我們在系統中建立目錄或檔案時,目錄或檔案所具有的預設許可權就是由umask值決定的。對於root使用者,系統預設的umask值是0022 對於普通使用者,系統預設的umask值是0002。執行umask命令可以檢視當前使用者的umask值。roo...
網路安全系列之培訓筆記整理
邏輯漏洞 多個執行緒競爭同乙個共享 變數 檔案等稱之為條件競爭。那麼什麼情況存在競爭條件?例項 上傳檔案,下面是乙個上傳檔案的例子,上傳檔案之前先校驗許可權 include include include define delay 10000 int main fp fopen fn,a fwrit...
網路安全系列之十二 Linux使用者賬號安全設定
使用者賬號是計算機使用者的身份憑證或標識,每乙個要訪問系統資源的人,必須憑藉他的使用者賬號才能進入計算機。在linux系統中,提供了多種機制來確保使用者賬號的正當 安全使用。合理地規劃使用者賬號,並合理地分配許可權,是保證linux系統安全的第一步。1.清理系統賬號 在linux系統中,一些程式在安...