Linux系统的Grub安全(附图)

日期: 2010-03-23 来源:TechTarget中国

  Linux内核的系统,如Linux、UNIX等,都存在一个安全性问题,就是通过grub进入单用户模式,进入单用户模式后,可以更改root帐户的密码等等。

  那怎么样才是通过grub进入单用户模式呢?

  本次实验的操作系统是Rad Hat Enterprise Linux 4(不同系统文件存放地点和文件名可能会有差异)

  步骤:

  1、在操作系统启动的第一个界面,如下图,是一个限于几秒钟等待键入的画面,此时,在键盘上迅速连续点击”Esc”键(也可以在系统启动之前就一直按”Esc”)

Linux系统的Grub安全1

  2、最后画面就停留在此处,如下图。下面有提示说“’e’ to edit the commands before booting”,在此画面键入e

Linux系统的Grub安全2

  3、键入e后跳转到此画面,选择第二项,再次键入e编辑

Linux系统的Grub安全3

  4、删除”rhgb quie”,输入”single”。请注意不要删到路径,路径+空格+single,如下图。弄错了就麻烦了,建议不要在真实机上做实验。

Linux系统的Grub安全4

  5、更改为single后按回车,回到选择的界面,如下图。Press ‘b’ to boot,键入b启动系统。

Linux系统的Grub安全5

  6、系统启动到命令行界面,到此就可以输入各种命令啦

Linux系统的Grub安全6

  7、想更改root帐户密码。输入passwd回车,提示说更改root用户密码,键入新密码按回车,(请谨慎输入密码,因为在画面上是不可见的),再次输入密码按回车,提示说”updated successfully”就更改成功了,输入reboot重启系统。如下图前几行。

Linux系统的Grub安全7

  8、实验做到此处就已经更改root密码成功了。
寥寥几步就可以更改root密码,真是太简单了,那怎样才能拒绝,完全不需要知道任何系统信息,就能更改root密码的行为呢?

Grub加密。设置一下grub,要输入正确的密码才能进入grub编辑
步骤:

  1、进入文件夹/boot/grub,打开文件grub.conf,添加一条命令password=123abc!!(密码是随意的),添加到splashimage命令的上一行或下一行。如下图

Linux系统的Grub安全8

  2、点击保存,重启系统,再次像上面介绍的方法进入此界面,看看有什么不同。没有提示说键入’e’编辑了,而是“’p’ to enter a password”

Linux系统的Grub安全9

  3、键入p,下方出现输入密码的地方,正确输入密码

Linux系统的Grub安全10

  4、正确输入密码按回车后,才进到第一个能编辑的界面,看下图

Linux系统的Grub安全11

  5、这样别人就不能随意地进入单用户模式了,因为需要grub密码。

  6、但是grub密码,以明文的方式保存在文件里,也是不够安全的,Linux系统自带MD5加密算法。可以利用MD5算法把grub密码加密存放。回到桌面,右击打开终端,输入grub-md5-crypt回车,输入密码,再次输入密码,两次密码一致的话,就生成一串不规则字符串,那就是我们要的被加密的密码,如下图第四行

Linux系统的Grub安全12

  7、复制不规则字符串,注意不要复制多了或少了。打开/boot/grub下的grub.conf文件
删除’=123abc!!’,空格,输入’–md5’,空格,右击粘贴,把刚才的字符串不多不少地粘贴出来,如下图

Linux系统的Grub安全13

  8、密码以密文的形式保存在文件中,就安全多了。注意在进入grub界面时,还是输明文的那个密码,而不是输那串不规则的密码字符串。

  9、以上做的是grub的全局加密,还有个grub局部加密,还是针对/boot/grub里的grub.conf文件做设置。在title里的root下面,添加一条一样的命令就行了,可以使用另一个密码,重新生成另一个密文,这里只用和全局一样的密码,如下图

Linux系统的Grub安全14

  10、但是,grub全局加密只是对要进入grub界面时才起作用;而局部加密,不但对grub起作用,而且正常启动系统时,也要求输入局部密码,就是说,如果设置了grub局部密码,正常启动系统时要输入两次密码,一次是局部密码,一次是以前启动系统时root帐户密码,如下图:

Linux系统的Grub安全15

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 如何在Linux系统上安装OSSEC服务器和OSSEC Windows代理?

    考虑到目前的威胁现状,对企业来说,不使用入侵检测系统是非常不明智的决策。本文我们将通过视频演示来介绍安装免费的基于主机的入侵检测系统OSSEC的方法。

  • 引黑客入瓮-给Linux系统蒙上Windows面纱

    黑客经常利用工具扫描用户机器,再针对找到的漏洞进行攻击。通过伪装Linux系统给黑客设置系统假象,可加大黑客对系统的分析难度,提高计算机系统的安全性……

  • 联通查询终端机难逃黑客之手

    随着信息化的加速发展,方便我们生活的各种网络终端也容易成为黑客攻击的目标,之前很多银行的查询终端也都被黑客们”钻研”过,这次倒霉的是联通的查询终端……

  • 加强企业Linux系统安全的方法

    世界上没有绝对安全的系统,即使是普遍认为稳定的Linux系统,在管理和安全方面也存在不足之处。我们期望让系统尽量在承担低风险的情况下工作^