Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.2.5. 保护引导装载程序

密码保护 Linux 引导装载程序的主要原因如下:
  1. 防止访问单用户模式 - 如果攻击者可以引导系统进入单用户模式,则它们会自动以 root 身份登录,而无需提示输入 root 密码。
    警告
    不建议通过编辑 /etc/sysconfig/init 文件中的 SINGLE 参数来使用密码保护对单用户模式的访问。攻击者可以通过在 GRUB 2 的内核命令行中指定自定义初始命令(使用 init= 参数)来绕过密码。建议您对 GRUB 2 引导加载程序进行密码保护,如《Red Hat Enterprise Linux 7 系统管理员指南》使用密码保护 GRUB 2 中所述
  2. 防止访问 GRUB 2 控制台 - 如果计算机使用 GRUB 2 作为启动加载器,攻击者可以使用 GRUB 2 编辑器界面更改其配置或使用 cat 命令收集信息。
  3. 防止访问 Insecure 操作系统 - 如果是双引导系统,攻击者可在引导时选择操作系统,例如 DOS,它忽略访问控制和文件权限。
Red Hat Enterprise Linux 7 在 Intel 64 和 AMD64 平台上包含 GRUB 2 引导装载程序。有关 GRUB 2 的详细介绍,请参阅《Red Hat Enterprise Linux 7 系统管理员指南》的使用 GRUB 2 引导加载器章节

4.2.5.1. 禁用交互式启动

通过在启动序列开始时按 I 键,您可以以交互方式启动您的系统。在交互式启动期间,系统会提示您逐个启动每个服务。但是,这可以允许获得系统物理访问权限的攻击者禁用与安全相关的服务并获得系统访问权限。
要防止用户以 root 身份以互动方式启动系统,请在 /etc/sysconfig/init 文件中禁用 PROMPT 参数:
PROMPT=no