Sugli host Ubuntu e Debian, la modalità utente singolo , denominata anche modalità di salvataggio , viene utilizzato per eseguire operazioni critiche.
La modalità utente singolo può essere utilizzata per reimpostare la password di root o per eseguire controlli sui file system e ripara se il tuo sistema non è in grado di montarli.
In questo tutorial, vedremo come eseguire l'avvio in modalità utente singolo su host Debian e Ubuntu e come reimpostare la password di root.
Stiamo anche configurando le nostre unità target (soccorso ed emergenza) per richiedere una password all'avvio in modalità utente singolo.
Nota :per eseguire l'avvio in destinazioni di soccorso o di emergenza, è necessario l'accesso fisico alla macchina per interrompere il processo di avvio predefinito di GRUB.
Obiettivi di salvataggio ed emergenza su Debian
Nelle recenti distribuzioni Debian, systemd è responsabile dell'avvio del tuo host Linux utilizzando una destinazione predefinita.
Se vuoi controllare la destinazione predefinita eseguita da systemd, puoi eseguire il seguente comando
$ systemctl get-default
Come puoi vedere, il mio sistema è impostato per l'avvio sulla destinazione grafica per impostazione predefinita.
Poiché non possiedo alcun ambiente desktop come GNOME o KDE, verrà avviato in una semplice shell.
Tuttavia, la destinazione grafica non è l'unica destinazione disponibile su Linux, puoi avviare nelle seguenti modalità:
- spegnimento :utilizzato per spegnere l'host e spegnere il sistema;
- salvataggio :una modalità utilizzata per avviare il sistema con una shell di ripristino;
- emergenza :simile alla modalità di salvataggio tranne per il fatto che nessun servizio viene avviato e nessun filesystem viene montato;
- multiutente :la modalità predefinita sui sistemi systemd Linux, utilizzata per avviare il tuo host in un sistema non grafico (senza un ambiente desktop);
- grafica :include la destinazione multiutente e un ambiente grafico come KDE o GNOME per esempio;
- riavvia :spegne il sistema e lo riavvia immediatamente
Come rispecchiano i loro nomi, queste modalità vengono utilizzate per eseguire operazioni di manutenzione su un sistema Linux, ma devono essere eseguite in modo sicuro per evitare perdite di sicurezza.
In questo articolo, ci concentreremo sul salvataggio e emergenza modalità e vedere come possiamo utilizzarle in sicurezza.
Vedremo anche come l'avvio in modalità utente singolo può essere utilizzato per modificare la password di root o per eseguire semplici controlli sui filesystem.
Configurazione dell'account di root su Debian
Per impostazione predefinita, quando si accede alla modalità utente singolo, verrà fornito un prompt di root con privilegi completi.
Di conseguenza, per eseguire l'avvio in modalità utente singolo (o modalità di ripristino), il tuo account di root deve essere sbloccato e deve disporre di una password.
Verifica dello stato di blocco dell'account root
Su Ubuntu, gli account root sono disabilitati per impostazione predefinita come misura di sicurezza e puoi scegliere di disabilitarlo anche su Debian 10 (se non specifichi una password di root durante l'installazione di Debian)
Per verificare se il tuo account di root è bloccato, esegui il seguente comando
$ sudo -s
$ cat /etc/shadow | grep root
Come puoi vedere, sullo spazio riservato alla password è presente un punto esclamativo:significa che la root è bloccata.
Impostazione di una password per l'account root
Per impostare una password per l'account root, esegui il comando seguente
$ sudo passwd
Se torni a controllare il contenuto del tuo file shadow, ora dovresti vedere che il contenuto è stato modificato e che non viene visualizzato alcun punto esclamativo.
Fantastico, ora possiamo iniziare l'avvio in modalità utente singolo dalla schermata del bootloader di GRUB.
Avvio in modalità soccorso da GRUB
Per eseguire l'avvio in modalità utente singolo, o modalità di ripristino, interromperai il processo di avvio predefinito all'avvio della tua macchina.
Ripristina la tua macchina e interrompi il processo di avvio premendo una freccia chiave nel menu di GNU GRUB.
Se stai eseguendo una distribuzione basata su Debian, questo è ciò che dovresti vedere sullo schermo
Come descritto nel pannello della descrizione in basso, premi "e" per modificare i comandi di avvio
Ora dovresti vedere la seguente finestra sullo schermo
Usando le frecce direzionali, vai alla riga di avvio del kernel Linux e metti la seguente stringa alla fine della riga.
systemd.unit=rescue.targetPuoi anche semplicemente digitare "1", è equivalente all'avvio in modalità utente singolo su Debian.
Come descritto sotto lo script di avvio, premi F10 per avviare nella destinazione di salvataggio.
Il tuo kernel Linux verrà caricato e il tuo filesystem virtuale iniziale verrà caricato.
Prima di avere l'accesso, ti verrà richiesta la password di root che hai appena cambiato in precedenza.
Digita la password che hai definito in precedenza e ora dovresti avere una shell di root direttamente nel tuo host.
Eccezionale! Ora che hai una shell di root nell'host, puoi iniziare cambiando la password di root o controllando i tuoi filesystem.
Suggerimenti sulla sicurezza per la modalità utente singolo
Quando si tratta della modalità utente singolo o della destinazione di salvataggio, è importante che questa modalità sia protetta da password sul sistema.
Come puoi vedere, è il caso di default su Debian 10, ma devi assicurarti che su altre distribuzioni sia così.
Se un intruso ha accesso fisico alla tua macchina, ad esempio in un data center, potrebbe essere facile come riavviare la macchina, interrompere il processo di avvio e avviare una modalità utente singolo non protetta.
Da lì, ogni file può essere cancellato, copiato o trasferito su un server non sicuro.
È inoltre possibile installare programmi dannosi per monitorare l'attività dell'host e per rubare informazioni personali.
Shell di accesso Sullog
Fortunatamente per te, le distribuzioni Debian standard sono configurate per richiedere la password di root all'avvio in modalità utente singolo.
Può essere visto ispezionando i servizi di soccorso e di emergenza sul tuo host (che si trova in /usr/lib/systemd/system )
$ cat /usr/lib/systemd/system/rescue.service
Per impostazione predefinita, all'avvio, il tuo sistema avvierà la systemd-sulogin-shell in modalità di salvataggio, che è al sicuro da accessi non autorizzati.
Tuttavia, devi assicurarti che questo file non sia stato alterato e che al sistema non sia stato richiesto di avviare una semplice shell (come /bin/sh Per esempio).
Ciò comporterebbe una modalità utente singolo non sicura, che essenzialmente presenta una grave violazione della sicurezza se qualcuno ha accesso fisico alla macchina.
Conclusione
In questo tutorial, hai appreso la modalità utente singolo sulle distribuzioni basate su Debian e come è correlata agli obiettivi di salvataggio e di emergenza su Linux.
Hai appreso che questa modalità deve essere protetta da password in quanto offre una shell di root per gli utenti che dovevano accedervi.
Hai anche dato un'occhiata a come puoi indicare a GRUB di avviarsi in questa modalità e come può essere utilizzato per eseguire operazioni di manutenzione sul tuo sistema.
Se sei curioso dell'amministrazione del sistema Linux, abbiamo una sezione completa ad essa dedicata sul sito web.