この記事では、Linux®サーバーの高度なセキュリティ設定について説明します。この記事の手順では、GRUBを変更する方法について説明します。 またはGRUB2 緊急コンソールにパスワード保護を適用するためのブートローダー。
重要 :この記事の手順は、悪意のある攻撃者がRackspaceポータルにアクセスしたと考える理由がある場合にのみ使用してください。これらの手順は、基本的なサーバーセキュリティとして使用できます。ただし、これらの手順は主に、アカウントレベルの侵害が発生した場合のサーバーの保護に重点を置いています。 Linuxサーバーの基本的なセキュリティの詳細については、Linuxサーバーのセキュリティのベストプラクティスを参照してください。
このセクションでは、MyCloudアカウントが侵害された場合の被害を軽減するための対策について説明します。主な目標は、悪意のある攻撃者が緊急コンソールを使用してシングルユーザーモードで再起動できないようにすることです。
これらの手順は、ディストリビューションがレガシーGRUBを使用しているかどうかによって異なります。 またはGRUB2 ブートローダー。
Red Hat EnterpriseLinux7.2以降のディストリビューションの手順
RedHat®EnterpriseLinux®7.2以降を使用するディストリビューションについては、以下の手順を使用してください。
-
次のコマンドを実行します:
grub2-setpassword
-
プロンプトが表示されたらパスワードを入力します。
注: シングルユーザーモードに入るとき、ユーザー名はrootです。 、パスワードはプロンプトが表示されたときに入力したものです。
/boot/grub2/grub.cfgへの手動変更 新しいカーネルバージョンがインストールされてもファイルは保持されますが、 grub.cfgを再生成するとファイルは失われます grub2-mkconfigを使用する 指図。したがって、grub2-mkconfigを使用するたびに、前述の手順を使用してください。 パスワード保護を維持するため。
GRUB2を使用するディストリビューションの手順
GRUB2を使用するディストリビューションについては、以下の手順を使用してください :
-
次のコマンドを実行します:
grub2-mkpasswd-pbkdf2 -
パスワードの設定を求められたら:
a。新しいパスワードを入力してください。
b。新しいパスワードをもう一度入力してください。
c。
grub.pbkdf2から始めて、結果の暗号化されたパスワードをコピーします 。 -
次のコマンドを実行します:
vim /etc/grub.d/40_custom -
このファイルに次の行を入力します。
警告: ファイル内の既存の行を変更しないでください。
set superusers="root" password_pbkdf2 john (paste copied password here) -
保存して終了し、システムを再起動してテストします。
問題や人的介入なしにシステムを起動できるはずですが、既存のエントリを編集する前にパスワードの入力を求められるはずです。
レガシーGRUBを使用するディストリビューションについては、以下の手順を使用してください :
-
次のコマンドを実行します:
grub-md5-crypt -
パスワードの設定を求められたら:
a。新しいパスワードを入力してください。
b。新しいパスワードをもう一度入力してください。
c。結果の暗号化されたパスワードをコピーします。
-
次のコマンドを実行します:
vim /boot/grub/menu.lst -
timeout=で始まる行を見つけます 。 -
その行の後に、
password --md5 _(paste copied password here)_を設定する新しい行を作成します 。