Dieser Artikel behandelt erweiterte Sicherheitseinstellungen für einen Linux®-Server. Die Schritte in diesem Artikel beschreiben, wie Sie GRUB ändern oder GRUB2 Bootloader, um einen Passwortschutz für Ihre Notfallkonsole anzuwenden.
Wichtig :Verwenden Sie die Schritte in diesem Artikel nur, wenn Sie Grund zu der Annahme haben, dass sich ein böswilliger Akteur Zugang zu Ihrem Rackspace-Portal verschafft hat. Sie können diese Schritte als grundlegende Serversicherheit verwenden. Diese Schritte konzentrieren sich jedoch hauptsächlich auf den Schutz Ihres Servers im Falle einer Kompromittierung auf Kontoebene. Weitere Informationen zur grundlegenden Sicherheit von Linux-Servern finden Sie unter Best Practices für die Sicherheit von Linux-Servern.
Sicherheit der Notfallkonsole
Dieser Abschnitt beschreibt Maßnahmen zur Minderung des Schadens, wenn Ihr MyCloud-Konto kompromittiert wird. Ihr Hauptziel ist sicherzustellen, dass Angreifer Ihre Notfallkonsole nicht verwenden können, um im Einzelbenutzermodus neu zu starten.
Diese Anweisungen variieren je nachdem, ob Ihre Distribution Legacy-GRUB verwendet oder GRUB2 Bootloader.
Anweisungen für Red Hat Enterprise Linux 7.2 und höhere Distributionen
Verwenden Sie die folgenden Schritte für Distributionen, die Red Hat® Enterprise Linux® 7.2 und höher verwenden:
-
Führen Sie den folgenden Befehl aus:
grub2-setpassword
-
Geben Sie das Passwort ein, wenn Sie dazu aufgefordert werden.
Hinweis: Beim Aufrufen des Einzelbenutzermodus lautet der Benutzername root , und das Passwort ist das, was Sie eingegeben haben, als Sie dazu aufgefordert wurden.
Manuelle Änderungen an /boot/grub2/grub.cfg bleiben bestehen, wenn neue Kernel-Versionen installiert werden, gehen aber verloren, wenn Sie grub.cfg neu generieren indem Sie die grub2-mkconfig verwenden Befehl. Verwenden Sie daher nach jeder Verwendung von grub2-mkconfig das obige Verfahren um den Passwortschutz beizubehalten.
Anweisungen für Distributionen, die GRUB2 verwenden
Verwenden Sie die folgenden Schritte für Distributionen, die GRUB2 verwenden :
-
Führen Sie den folgenden Befehl aus:
grub2-mkpasswd-pbkdf2 -
Wenn Sie aufgefordert werden, das Passwort festzulegen:
a. Geben Sie das neue Passwort ein.
b. Geben Sie das neue Passwort erneut ein.
c. Kopieren Sie das resultierende verschlüsselte Passwort, beginnend bei
grub.pbkdf2. -
Führen Sie den folgenden Befehl aus:
vim /etc/grub.d/40_custom -
Tragen Sie in diese Datei folgende Zeilen ein:
Warnung: Ändern Sie keine vorhandenen Zeilen in der Datei.
set superusers="root" password_pbkdf2 john (paste copied password here) -
Speichern, beenden und zum Testen das System neu starten.
Sie sollten in der Lage sein, das System ohne Probleme oder menschliches Eingreifen zu starten, aber es sollte Sie zur Eingabe eines Passworts auffordern, bevor Sie einen bestehenden Eintrag bearbeiten können.
Anweisungen für Distributionen, die Legacy-GRUB verwenden
Verwenden Sie die folgenden Schritte für Distributionen, die Legacy-GRUB verwenden :
-
Führen Sie den folgenden Befehl aus:
grub-md5-crypt -
Wenn Sie aufgefordert werden, das Passwort festzulegen:
a. Geben Sie das neue Passwort ein.
b. Geben Sie das neue Passwort erneut ein.
c. Kopieren Sie das resultierende verschlüsselte Passwort.
-
Führen Sie den folgenden Befehl aus:
vim /boot/grub/menu.lst -
Suchen Sie die Zeile, die mit
timeout=beginnt . -
Erstellen Sie eine neue Zeile nach dieser Zeile, die
password --md5 _(paste copied password here)_festlegt .