GNU/Linux >> Znalost Linux >  >> Ubuntu

Zabezpečené spouštění v režimu jednoho uživatele na Ubuntu a Debianu

Na hostitelích Ubuntu a Debianu režim jednoho uživatele , také označovaný jako záchranný režim , se používá k provádění kritických operací.

Režim pro jednoho uživatele lze použít k resetování hesla uživatele root nebo k provedeníkontrol systému souborů a opravy, pokud je váš systém nedokáže připojit.

V tomto tutoriálu se podíváme, jak můžete zavést v režimu jednoho uživatele na hostitelích Debian a Ubuntu a jak resetovat heslo uživatele root.

Také jsme nakonfigurovali naše cílové jednotky (záchranné a nouzové), aby při spouštění v režimu pro jednoho uživatele vyžadovaly heslo.

Poznámka :Abyste mohli zavést záchranné nebo nouzové cíle, potřebujete fyzický přístup k počítači, abyste přerušili výchozí proces spouštění GRUB.

Záchranné a nouzové cíle v Debianu

V posledních distribucích Debianu je systemd zodpovědný za zavedení vašeho hostitele Linuxu pomocí výchozího cíle.

Pokud chcete zkontrolovat výchozí cíl spuštěný systemd, můžete spustit následující příkaz

$ systemctl get-default

Jak můžete vidět, můj systém je standardně nastaven tak, aby se spouštěl na grafickém cíli.

Protože nevlastním žádné desktopové prostředí jako GNOME nebo KDE, spustí se v jednoduchém prostředí.

Grafický cíl však není jediným cílem dostupným v Linuxu, můžete jej zavést v následujících režimech:

  • vypnutí :používá se k vypnutí hostitele a vypnutí systému;
  • záchrana :režim používaný ke spuštění systému pomocí záchranného shellu;
  • nouzový :podobný záchrannému režimu kromě toho, že nejsou spuštěny žádné služby a nejsou připojeny žádné souborové systémy;
  • více uživatelů :výchozí režim na systémových systémech Linux, který se používá ke spouštění vašeho hostitele v negrafickém systému (bez desktopového prostředí);
  • grafické :zahrnuje cíl pro více uživatelů a grafické prostředí, jako je například KDE nebo GNOME;
  • restartujte :vypne systém a okamžitě jej restartuje

Jak to odrážejí jejich názvy, tyto režimy se používají k provádění operací údržby na systému Linux, ale je třeba je provádět bezpečně, aby se zabránilo únikům zabezpečení.

V tomto článku se zaměříme na záchranu a nouzové režimů a uvidíte, jak je můžeme bezpečně používat.

Také uvidíme, jak lze spouštění v režimu jednoho uživatele použít ke změně hesla uživatele root nebo k provádění jednoduchých kontrol souborových systémů.

Konfigurace účtu root v Debianu

Ve výchozím nastavení se při vstupu do režimu jednoho uživatele zobrazí výzva root s úplnými oprávněními.

V důsledku toho, aby bylo možné zavést systém v režimu pro jednoho uživatele (nebo v záchranném režimu), musí být váš root účet odemčen a musí mít heslo.

Kontrola stavu uzamčení kořenového účtu

Na Ubuntu jsou rootové účty ve výchozím nastavení zakázány jako bezpečnostní opatření a můžete se rozhodnout, že jej deaktivujete také v Debianu 10 (pokud při instalaci Debianu nezadáte heslo uživatele root)

Chcete-li zkontrolovat, zda je váš účet root uzamčen, spusťte následující příkaz

$ sudo -s
$ cat /etc/shadow | grep root

Jak vidíte, na prostoru vyhrazeném pro heslo je vykřičník:to znamená, že root je uzamčen.

Nastavení hesla kořenového účtu

Chcete-li nastavit heslo pro účet root, spusťte následující příkaz

$ sudo passwd

Pokud se vrátíte ke kontrole obsahu vašeho stínového souboru, měli byste nyní vidět, že obsah byl změněn a že se nezobrazuje žádný vykřičník.

Skvělé, nyní můžeme začít bootovat do režimu jednoho uživatele z obrazovky zavaděče GRUB.

Zavedení v záchranném režimu z GRUB

Abyste mohli zavést systém do režimu jednoho uživatele nebo do záchranného režimu, přerušíte výchozí proces spouštění při spouštění počítače.

Resetujte počítač a přerušte proces spouštění stisknutím šipky v nabídce GNU GRUB.

Pokud provozujete distribuci založenou na Debianu, toto byste měli vidět na obrazovce

Jak je popsáno v dolním panelu s popisem, stiskněte „e“ pro úpravu spouštěcích příkazů

Nyní byste na obrazovce měli vidět následující okno

Pomocí směrových šipek přejděte na řádek spouštění linuxového jádra a na konec řádku vložte následující řetězec.

systemd.unit=rescue.target

Můžete také jednoduše napsat „1“, což je ekvivalentní zavádění v režimu jednoho uživatele v Debianu.

Jak je popsáno níže ve spouštěcím skriptu, stiskněte F10 nabootovat do záchranného cíle.

Vaše Linuxové jádro bude načteno a bude načten váš počáteční virtuální souborový systém.

Před získáním přístupu budete vyzváni k zadání hesla uživatele root, které jste právě změnili.

Zadejte heslo, které jste definovali dříve, a nyní byste měli mít root shell přímo ve vašem hostiteli.

Úžasný! Nyní, když máte v hostiteli root shell, můžete začít změnou hesla root nebo kontrolou vašich souborových systémů.

Bezpečnostní doporučení pro režim jednoho uživatele

Pokud jde o režim jednoho uživatele nebo cíl záchrany, je důležité, aby tento režim byl ve vašem systému chráněn heslem.

Jak vidíte, v Debianu 10 je tomu tak ve výchozím nastavení, ale u ostatních distribucí se musíte ujistit, že tomu tak je.

Pokud má jakýkoli narušitel fyzický přístup k vašemu počítači, například v datovém centru, může to být stejně snadné jako restartování počítače, přerušení procesu spouštění a spuštění nechráněného režimu pro jednoho uživatele.

Odtud lze každý soubor odstranit, zkopírovat nebo přenést na nezabezpečený server.

Škodlivé programy lze také nainstalovat ke sledování aktivity hostitele a ke krádeži osobních informací.

Sulogin přihlašovací shell

Naštěstí pro vás jsou standardní distribuce Debianu nakonfigurovány tak, aby při spouštění v režimu jednoho uživatele požadovaly heslo uživatele root.

Lze to zjistit prohlídkou záchranných a tísňových služeb na vašem hostiteli (nachází se na adrese /usr/lib/systemd/system )

$ cat /usr/lib/systemd/system/rescue.service

Ve výchozím nastavení váš systém při spuštění spustí systemd-sulogin-shell v záchranném režimu, který je bezpečný před neoprávněným přístupem.

Musíte se však ujistit, že tento soubor nebyl změněn a že systém nedostal pokyn ke spuštění jednoduchého shellu (jako /bin/sh například).

To by vedlo k nebezpečnému režimu pro jednoho uživatele, což by v podstatě znamenalo závažné narušení bezpečnosti, pokud by měl kdokoli fyzický přístup k počítači.

Závěr

V tomto tutoriálu jste se dozvěděli o režimu jednoho uživatele v distribucích založených na Debianu a o tom, jak souvisí se záchrannými a nouzovými cíli v Linuxu.

Dozvěděli jste se, že tento režim musí být chráněn heslem, protože nabízí root shell pro uživatele, kteří se do něj měli přihlásit.

Také jste se podívali na to, jak můžete dát pokyn GRUB, aby se zavedl do tohoto režimu, a jak jej lze použít k provádění operací údržby na vašem systému.

Pokud vás zajímá administrace systému Linux, máme na webu kompletní sekci věnovanou tomu.


Ubuntu

  1. Obnovte svůj systém pomocí režimu jednoho uživatele v Ubuntu / Ubuntu 11.10

  2. Ubuntu 14.04 nevyzve k bootování Grub?

  3. Ubuntu 16.04 – Jak mohu zakázat zabezpečené spouštění?

  1. Jak změnit na uživatele root v Ubuntu 22.04

  2. Linux pro jednoho uživatele

  3. Staňte se uživatelem root v Ubuntu 22.04 – průvodce krok za krokem?

  1. Jak zavést do režimu jednoho uživatele v CentOS/RHEL 7

  2. Jak zavést RHEL 7 / CentOS 7 Server v režimu jednoho uživatele

  3. Jak zavést CentOS 8 / RHEL 8 Server v režimu jednoho uživatele