Questo articolo illustra le impostazioni di sicurezza avanzate per un server Linux®. I passaggi in questo articolo descrivono come modificare il GRUB o GRUB2 bootloader per applicare la protezione con password alla tua console di emergenza.
Importante :usa i passaggi in questo articolo solo se hai motivo di ritenere che un cattivo attore abbia ottenuto l'accesso al tuo Rackspace Portal. È possibile utilizzare questi passaggi come sicurezza di base del server. Tuttavia, questi passaggi si concentrano principalmente sulla protezione del server in caso di compromissione a livello di account. Per ulteriori informazioni sulla sicurezza di base del server Linux, fare riferimento alle best practice per la sicurezza del server Linux.
Sicurezza della console di emergenza
Questa sezione descrive le misure per mitigare il danno se il tuo account MyCloud è compromesso. Il tuo obiettivo principale è assicurarti che i malintenzionati non possano utilizzare la tua console di emergenza per riavviarsi in modalità utente singolo.
Queste istruzioni variano a seconda che la tua distribuzione utilizzi GRUB legacy o GRUB2 bootloader.
Istruzioni per Red Hat Enterprise Linux 7.2 e distribuzioni successive
Utilizzare i passaggi seguenti per le distribuzioni che utilizzano Red Hat® Enterprise Linux® 7.2 e versioni successive:
-
Esegui il seguente comando:
grub2-setpassword
-
Inserisci la password quando richiesto.
Nota: Quando si accede alla modalità utente singolo, il nome utente è root e la password è quella che hai inserito quando richiesto.
Modifiche manuali a /boot/grub2/grub.cfg il file persiste quando vengono installate nuove versioni del kernel ma viene perso quando si rigenera grub.cfg usando grub2-mkconfig comando. Pertanto, utilizzare la procedura precedente dopo ogni utilizzo di grub2-mkconfig per mantenere la protezione con password.
Istruzioni per le distribuzioni che utilizzano GRUB2
Segui i passaggi seguenti per le distribuzioni che utilizzano GRUB2 :
-
Esegui il seguente comando:
grub2-mkpasswd-pbkdf2 -
Quando viene richiesto di impostare la password:
un. Inserisci la nuova password.
b. Immettere nuovamente la nuova password.
c. Copia la password crittografata risultante, a partire da
grub.pbkdf2. -
Esegui il seguente comando:
vim /etc/grub.d/40_custom -
Inserisci le seguenti righe in questo file:
Avviso: Non modificare le righe esistenti nel file.
set superusers="root" password_pbkdf2 john (paste copied password here) -
Salva, esci e riavvia il sistema per eseguire il test.
Dovresti essere in grado di avviare il sistema senza alcun problema o intervento umano, ma dovrebbe richiederti una password prima di consentirti di modificare qualsiasi voce esistente.
Istruzioni per le distribuzioni che utilizzano GRUB legacy
Segui i passaggi seguenti per le distribuzioni che utilizzano GRUB legacy :
-
Esegui il comando seguente:
grub-md5-crypt -
Quando viene richiesto di impostare la password:
un. Inserisci la nuova password.
b. Immettere nuovamente la nuova password.
c. Copia la password crittografata risultante.
-
Esegui il comando seguente:
vim /boot/grub/menu.lst -
Individua la riga che inizia con
timeout=. -
Crea una nuova riga dopo quella riga che imposta
password --md5 _(paste copied password here)_.