- 论坛徽章:
- 0
|
原帖由 qingb 于 2008-5-18 19:41 发表 ![]()
oot用戶的密碼可以通過grub菜單重新設置.以前我一直以為普通用戶沒有rebboot權限,可結果出乎意料。
rh-based 系統預設安裝 usermode-console 工具,該 package 於 /usr/bin 內提供 reboot,halt 等工具,一般使用者執行到是 /usr/bin 內的 reboot 與 halt 等程式,非預設 /sbin 內的程式版本。/usr/bin 內的 halt 與 reboot 等這些工具都支援 pam 驗證,而依據 /etc/pam.d/{reboot,pam} 驗證配置檔案設定來看:
- #%PAM-1.0
- auth sufficient pam_rootok.so
- auth required pam_console.so
- #auth include system-auth
- account required pam_permit.so
只要是該主機 console 登入,就直接允許可 reboot 與 halt 不需要有 root 身份特權。遠端登入的話沒該權限。
既然普通用戶可以reboot系統,那麼他可不可以操縱grub菜單,重新設置root密碼?不應該出現這種情況吧?還是在真正多終端多用戶環境下有什麼特殊手段保護root密碼?
這都是老生常談的大 FAQ 了。
你怕有人改 grub 參數傳入 single,那您可以參考 grub manual 加上密碼保護不是嗎 ?
- timeout 10
- color black/cyan yellow/cyan
- default 0
- password --md5 $1$zs8qV$eoT9TW5DJKF6KEgyMOKlF1
- title linux
- kernel (hd0,0)/vmlinuz BOOT_IMAGE=linux root=/dev/sda8 resume=/dev/sda5
- initrd (hd0,0)/initrd.img
這樣是不是可以禁止傳入參數 ?
再者基本上人在主機前面了有啥安全性可言呢,實在令人費解呢。OS 的防護當然是指 OS 開機運作中義,要不然實際上準備一個 bootable cd disc 開機進入系統還不是可以存取修改相關檔案? Windows 與其他 OS 是不是也這般脆弱呢 ?
-- |
|
免费注册
发表于 2008-05-18 19:41
