ご存知のように、CentOSのルートパスワードを回復するのは簡単です。 GRUBに「E」と入力してもう一度マウントしてみてください。パスワードの回復を防ぐ方法はありますか?
私はルートパスワードを回復するすべての一般的な方法をサーバー(GRUB)にリモートでアクセスできる人にのみ制限したいと思います。物理アクセスはすべての制限された方法をバイパスする可能性があるため、リモートソリューションが必要です。
答え1
GRUBに再マウントしてCentOSでパスワード回復を防ぐのは難しい場合があります。ブートローダの設定を変更し、追加のセキュリティ対策を実装する必要があります。
可能なすべてのパスワード回復方法を完全に削除することは困難です。
以下はいくつかの方法です。
- フルディスク暗号化、LUKS(Linux統合キー設定)などのツールを使用してフルディスク暗号化を実現します。
- セキュアブート、システムのBIOSまたはUEFI設定でセキュアブートを有効にします。
- BIOS/UEFI パスワード、起動設定への不正アクセスを防ぐために、システムのBIOSまたはUEFIファームウェアの強力なパスワードを設定してください。
- GRUBパスワード、コマンドラインインターフェイスへの不正アクセスを防ぐためにGRUBのパスワードを設定します。
自分に尋ねるべき質問は、ユーザーフレンドリー/シンプルさとセキュリティです。
物理的なアプローチは、制限されたすべての方法をバイパスすることができます。
私にとって物理的なアプローチは、誰かがサーバーを盗んだり、ハードドライブを取り外したり、自分のコンピュータから読んだりすることを意味します。
物理的にアクセスできる人がパスワードをリセットしないようにするには、次のコマンドを使用してディスクを暗号化する必要があります。dm-暗号化/cryptsetup/LUKS。
しかし、リモートユーザーがシステムにアクセスする場合、これはGRUBとどのような関係がありますか? dm-crypt/cryptsetup/LUKSを使用したディスク暗号化は、リモートアクセスに関してGRUBと直接関係しません。
GRUB(Grand Unified Bootloader)は、システムの初期起動プロセスとオペレーティングシステムのロードを担当します。ディスク暗号化に直接関与しません。
物理アクセスに対するセキュリティを強化するには、ハードドライブを暗号化する必要があります。パスワードを手動で入力したくない場合は、誰がサーバーを再起動する必要があるのが問題です。
現場に誰かがいる場合は、LUKSキーを保存するドングルとして機能するUSBスティックを作成することもできます。サーバーが起動するとUSBスティックが挿入され、サーバーはUSBスティックからキー/パスワードを読み取り、ハードドライブの復号化とシステムの起動を行います。
誰かがUSBスティックにアクセスできるようになると、キーとパスワードがあります。
リモートアクセスセキュリティ
リモートソリューションが必要です。
リモート接続サーバーのセキュリティを強化します。パスワードの代わりにSSHやキーベースの認証などのセキュリティプロトコルを使用している場合。直接ルートログインを無効にし、リモートアクセスが制限されている別のユーザーアカウントを作成します。潜在的なセキュリティの脆弱性を解決するには、サーバー上のソフトウェアを定期的に更新してパッチを適用してください。
答え2
編集を防止したい場合にのみ、次のパスワードを使用して保護grub
できます。grub
GRUBの認証と承認指示する。
デフォルトでは、再起動するたびにオペレーティングシステムをロードするにはパスワードも必要です。 OSの起動を許可する必要がありますが、回答のように--unrestricted
パスワードを追加して編集を保護する必要があります。menuentry
GRUBメニュー編集保護のみ。