Linux普通用户可以重新启动系统,这么做是不是有安全问题?
2015-07-23 15:29
489 查看
root用户的密码可以通过grub菜单重新设置.以前我一直以为普通用户没有rebboot权限,可结果出乎意料。既然普通用户可以reboot系统,那么他可不可以操纵grub菜单,重新设置root密码?不应该出现这种情况吧?还是在真正多终端多用户环境下有什么特殊手段保护root密码?
QUOTE:原帖由 qingb 于
2008-5-18 19:41 发表
oot用戶的密碼可以通過grub菜單重新設置.以前我一直以為普通用戶沒有rebboot權限,可結果出乎意料。
rh-based 系統預設安裝 usermode-console 工具,該 package 於 /usr/bin 內提供 reboot,halt 等工具,一般使用者執行到是 /usr/bin 內的 reboot 與 halt 等程式,非預設 /sbin 內的程式版本。/usr/bin 內的 halt 與 reboot 等這些工具都支援 pam
驗證,而依據 /etc/pam.d/{reboot,pam} 驗證配置檔案設定來看:
[Copy to clipboard] [
- ]CODE:#%PAM-1.0
auth sufficient pam_rootok.so
auth required pam_console.so
#auth include system-auth
account required pam_permit.so
只要是該主機 console 登入,就直接允許可 reboot 與 halt 不需要有 root 身份特權。遠端登入的話沒該權限。
QUOTE:既然普通用戶可以reboot系統,那麼他可不可以操縱grub菜單,重新設置root密碼?不應該出現這種情況吧?還是在真正多終端多用戶環境下有什麼特殊手段保護root密碼?
這都是老生常談的大 FAQ 了。
你怕有人改 grub 參數傳入 single,那您可以參考 grub manual 加上密碼保護不是嗎 ?
[Copy to clipboard] [
- ]CODE:timeout 10
color black/cyan yellow/cyan
default 0
password --md5 $1$zs8qV$eoT9TW5DJKF6KEgyMOKlF1
title linux
kernel (hd0,0)/vmlinuz BOOT_IMAGE=linux root=/dev/sda8 resume=/dev/sda5
initrd (hd0,0)/initrd.img
這樣是不是可以禁止傳入參數 ?
再者基本上人在主機前面了有啥安全性可言呢,實在令人費解呢。OS 的防護當然是指 OS 開機運作中義,要不然實際上準備一個 bootable cd disc 開機進入系統還不是可以存取修改相關檔案? Windows 與其他 OS 是不是也這般脆弱呢 ?
--
可以在安装Linux时,在配置GRUB的时候设定进入GRUB菜单的密码,它会进行MD5加密
QUOTE:原帖由 qingb 于
2008-5-18 19:41 发表
oot用戶的密碼可以通過grub菜單重新設置.以前我一直以為普通用戶沒有rebboot權限,可結果出乎意料。
rh-based 系統預設安裝 usermode-console 工具,該 package 於 /usr/bin 內提供 reboot,halt 等工具,一般使用者執行到是 /usr/bin 內的 reboot 與 halt 等程式,非預設 /sbin 內的程式版本。/usr/bin 內的 halt 與 reboot 等這些工具都支援 pam
驗證,而依據 /etc/pam.d/{reboot,pam} 驗證配置檔案設定來看:
[Copy to clipboard] [
- ]CODE:#%PAM-1.0
auth sufficient pam_rootok.so
auth required pam_console.so
#auth include system-auth
account required pam_permit.so
只要是該主機 console 登入,就直接允許可 reboot 與 halt 不需要有 root 身份特權。遠端登入的話沒該權限。
QUOTE:既然普通用戶可以reboot系統,那麼他可不可以操縱grub菜單,重新設置root密碼?不應該出現這種情況吧?還是在真正多終端多用戶環境下有什麼特殊手段保護root密碼?
這都是老生常談的大 FAQ 了。
你怕有人改 grub 參數傳入 single,那您可以參考 grub manual 加上密碼保護不是嗎 ?
[Copy to clipboard] [
- ]CODE:timeout 10
color black/cyan yellow/cyan
default 0
password --md5 $1$zs8qV$eoT9TW5DJKF6KEgyMOKlF1
title linux
kernel (hd0,0)/vmlinuz BOOT_IMAGE=linux root=/dev/sda8 resume=/dev/sda5
initrd (hd0,0)/initrd.img
這樣是不是可以禁止傳入參數 ?
再者基本上人在主機前面了有啥安全性可言呢,實在令人費解呢。OS 的防護當然是指 OS 開機運作中義,要不然實際上準備一個 bootable cd disc 開機進入系統還不是可以存取修改相關檔案? Windows 與其他 OS 是不是也這般脆弱呢 ?
--
可以在安装Linux时,在配置GRUB的时候设定进入GRUB菜单的密码,它会进行MD5加密
相关文章推荐
- CentOS 7 运行模式/运行级别
- linux中设置环境变量
- linux下中文乱码的解决方法
- Linux 文件与目录管理
- Linux平台上用C++实现多线程互斥锁
- Linux源码安装
- linux c 线程通信和同步
- linux删除大量文件----rm,rsync
- CentOS 7.1 (6.6)PXE网络自动化安装
- 在RedHat Linux 9.0下配置DNS服务器Bind 9.2.6
- 【Linux_Fedora_应用系列】_5_如何安装XZ Utils 解压缩工具以及利用 xz工具来解压缩.xz文件
- Linux下VsFTP配置全方案
- 关于Centos6.6安装QQ问题
- linux 用户管理
- 修改linux的hostname
- linux-ubantu查看已安装的软件
- linux下自启动文件的设置
- Linux 远程控制 SSH 配置
- Linux自启动设置详解
- linux在线安装jdk