Cet article traite des paramètres de sécurité avancés pour un serveur Linux®. Les étapes de cet article décrivent comment modifier le GRUB ou GRUB2 bootloader pour appliquer la protection par mot de passe à votre console d'urgence.
Important :Suivez les étapes de cet article uniquement si vous avez des raisons de croire qu'un mauvais acteur a accédé à votre portail Rackspace. Vous pouvez utiliser ces étapes comme sécurité de base du serveur. Cependant, ces étapes se concentrent principalement sur la protection de votre serveur en cas de compromission au niveau du compte. Pour plus d'informations sur la sécurité de base des serveurs Linux, reportez-vous aux meilleures pratiques de sécurité des serveurs Linux.
Sécurité de la console d'urgence
Cette section décrit les mesures pour atténuer les dommages si votre compte MyCloud est compromis. Votre objectif principal est de vous assurer que les acteurs malveillants ne peuvent pas utiliser votre console d'urgence pour redémarrer en mode mono-utilisateur.
Ces instructions varient selon que votre distribution utilise l'ancien GRUB ou GRUB2 chargeur de démarrage.
Instructions pour les distributions Red Hat Enterprise Linux 7.2 et supérieures
Suivez les étapes ci-dessous pour les distributions qui utilisent Red Hat® Enterprise Linux® 7.2 et versions ultérieures :
-
Exécutez la commande suivante :
grub2-setpassword
-
Entrez le mot de passe lorsque vous y êtes invité.
Remarque : Lorsque vous entrez en mode mono-utilisateur, le nom d'utilisateur est root , et le mot de passe est celui que vous avez entré lorsque vous y êtes invité.
Modifications manuelles de /boot/grub2/grub.cfg le fichier persiste lorsque de nouvelles versions du noyau sont installées mais est perdu lorsque vous régénérez grub.cfg en utilisant le grub2-mkconfig commande. Par conséquent, utilisez la procédure précédente après chaque utilisation de grub2-mkconfig pour conserver la protection par mot de passe.
Instructions pour les distributions qui utilisent GRUB2
Utilisez les étapes ci-dessous pour les distributions qui utilisent GRUB2 :
-
Exécutez la commande suivante :
grub2-mkpasswd-pbkdf2 -
Lorsque vous êtes invité à définir le mot de passe :
un. Entrez le nouveau mot de passe.
b. Saisissez à nouveau le nouveau mot de passe.
c. Copiez le mot de passe crypté résultant, en commençant par
grub.pbkdf2. -
Exécutez la commande suivante :
vim /etc/grub.d/40_custom -
Saisissez les lignes suivantes dans ce fichier :
Avertissement : Ne modifiez aucune ligne existante dans le fichier.
set superusers="root" password_pbkdf2 john (paste copied password here) -
Enregistrez, quittez, puis redémarrez le système pour tester.
Vous devriez pouvoir démarrer le système sans aucun problème ni intervention humaine, mais il devrait vous demander un mot de passe avant de vous permettre de modifier une entrée existante.
Instructions pour les distributions qui utilisent l'ancien GRUB
Utilisez les étapes ci-dessous pour les distributions qui utilisent l'ancien GRUB :
-
Exécutez la commande suivante :
grub-md5-crypt -
Lorsque vous êtes invité à définir le mot de passe :
un. Saisissez le nouveau mot de passe.
b. Saisissez à nouveau le nouveau mot de passe.
c. Copiez le mot de passe crypté résultant.
-
Exécutez la commande suivante :
vim /boot/grub/menu.lst -
Localisez la ligne qui commence par
timeout=. -
Créez une nouvelle ligne après cette ligne qui définit
password --md5 _(paste copied password here)_.