文章目录
一、系统引导和登录控制
- 在互联网环境中,大部分服务器是通过远程登录的方式来进行管理的,而本地引导和终端控制登录过程往往容易被忽视,从而留下安全隐患
- 特别是当服务器所在的机房环境缺乏严格、安全的管控制度时,如果防止其他用户的非授权介入,就成为必须重视的问题
1.开关机安全控制
- 对于服务器主机,其物理环境的安全防护是非常重要的,不仅要保持机箱完好、机柜锁闭,还要严格控制机房的人员进出、硬件设备的现场接触等过程
- 在开关机安全控制方面,除了要做好物理安全防护以外,还要做好系统本身的一些安全措施
1.1 调整 BIOS 引导设置
- 将第一引导设备(First Boot Device)设为当前系统所在硬盘
- 禁止从其他设备(如光盘、U盘、网络等)引导系统
- 将安全级别设为"setup",并设置管理员密码,以防止未授权的修改
1.2 限制更改 GRUB 引导参数
- 前稳重,曾介绍过通过修改 GRUB 引导参数进入单用户模式,以便对一些系统问题进行修复
- 这种方式不需要密码即可进入系统,而且拥有 root 权限,只应在紧急状况下授权使用
- 从系统安全的角度来看,如果人和人都能修改 GRUB 引导参数,对服务器本身是一个威胁
- 为了加强对引导过程的安全控制,可以为 GRUB 菜单设置一个密码,只有提供正确的密码才能被允许修改引导参数
grub2-mkpasswd-pbkdf2
#根据提示设置GRUB 菜单的密码
PBKDF2 hash of your password is grub.pbkdf2…… #省略部分内容为经过加密生成的密码字符串
vim /etc/grub.d/00_header
#按G"跳转至最后一行,添加以下内容
cat << EOF
set superusers="root"
#设置用户名为root
password_pbkdf2 root grub.pbkdf2…… #设置密码,省略部分内容为经过加密生成的密码字符串
EOF
grub2-mkconfig -o /boot/grub2/grub.cfg
#生成新的 grub.cfg 文件
reboot
#重启,测试