1、进入单用户模式排查
在启动页面键入 e
(图1 启动页面输入e)
修改linux16 /vmlinuz-3.10.0-957.27.2...这条信息中的ro为rw,并在末尾添加 rd.break
输入完成之后ctrl+x继续
(图2 进入单用户模式)
2、排查过程
执行 chroot sysroot/
A. 检查/etc/passwd内容显示是否正常
cat /etc/passwd
主要检查root用户登陆时shell是否正规(例: root:x:0:0:root:/bin/bash 或root:x:0:0:root:/bin/sh 为正常) 如下图
(图3 检查passwd配置文件)
B. 检查/var/log/secure日志
vim /var/log/secure 分析
查看登录信息,发现root登录被关闭,需要查看root下的.bashrc文件是否正确
pam_unix(login:session): session opened for user root by (uid=0);
pam_unix(login:session): session closed for user root;
(图4 分析登陆日志)
C. 查看 /root/.bashrc 信息
cat /root/.bashrc
(图5 检查.bashrc配置文件)
3、排查发现/root/.bashrc 文件被恶意更改
vim /root/.bashrc
直接编辑修改回正常样子,可参考正常节点的对比操作
(图6.修改.bashrc配置文件)
4、退出启动
退出单用户
(图7 退出单用户)
5、登录成功
(图8 登录成功)