Linux普通用户可以重新启动系统,这么做是不是有安全问题?

root用户的密码可以通过grub菜单重新设置.以前我一直以为普通用户没有rebboot权限，可结果出乎意料。既然普通用户可以reboot系统，那么他可不可以操纵grub菜单，重新设置root密码？不应该出现这种情况吧？还是在真正多终端多用户环境下有什么特殊手段保护root密码？

QUOTE:原帖由 qingb 于
2008-5-18 19:41 发表



oot用戶的密碼可以通過grub菜單重新設置.以前我一直以為普通用戶沒有rebboot權限，可結果出乎意料。

rh-based 系統預設安裝 usermode-console 工具，該 package 於 /usr/bin 內提供 reboot,halt 等工具，一般使用者執行到是 /usr/bin 內的 reboot 與 halt 等程式，非預設 /sbin 內的程式版本。/usr/bin 內的 halt 與 reboot 等這些工具都支援 pam
驗證，而依據 /etc/pam.d/{reboot,pam} 驗證配置檔案設定來看:

[Copy to clipboard] [
- ]CODE:#%PAM-1.0

auth sufficient pam_rootok.so

auth required pam_console.so

#auth include system-auth

account required pam_permit.so

只要是該主機 console 登入，就直接允許可 reboot 與 halt 不需要有 root 身份特權。遠端登入的話沒該權限。

QUOTE:既然普通用戶可以reboot系統，那麼他可不可以操縱grub菜單，重新設置root密碼？不應該出現這種情況吧？還是在真正多終端多用戶環境下有什麼特殊手段保護root密碼？

這都是老生常談的大 FAQ 了。

你怕有人改 grub 參數傳入 single，那您可以參考 grub manual 加上密碼保護不是嗎 ?

[Copy to clipboard] [
- ]CODE:timeout 10

color black/cyan yellow/cyan

default 0

password --md5 $1$zs8qV$eoT9TW5DJKF6KEgyMOKlF1

title linux

kernel (hd0,0)/vmlinuz BOOT_IMAGE=linux root=/dev/sda8 resume=/dev/sda5

initrd (hd0,0)/initrd.img

這樣是不是可以禁止傳入參數 ?

再者基本上人在主機前面了有啥安全性可言呢，實在令人費解呢。OS 的防護當然是指 OS 開機運作中義，要不然實際上準備一個 bootable cd disc 開機進入系統還不是可以存取修改相關檔案？ Windows 與其他 OS 是不是也這般脆弱呢 ?

--

可以在安装Linux时,在配置GRUB的时候设定进入GRUB菜单的密码,它会进行MD5加密