淺析Ubuntu Server 用戶安全

　　一 用戶概述
　　默認狀況下，ubuntu server的root用戶是不啟用的，一般用戶通過在命令前加前綴」sudo」,來暫時獲得管理員許可權。隨後會提示輸入password，此password與一般用戶的密碼一樣。也可以通過 sudo ?i來將一般用戶提升為超級用戶。

　　啟用root帳號僅需運行sudo passwd root，然後根據提示輸入密碼即可激活root.如果要關閉root用戶，僅需運行 sudo passwd ?l root即可。

　　root帳號的密碼和普通用戶使用sudo的密碼沒有任何聯繫。root帳號和普通帳號的sudo不同之處在於，使用root帳號登陸后許可權始終為管理員許可權，而普通帳號的sudo,僅在執行某一命令時是管理員許可權，當執行完命令后又會自動降為普通用戶許可權。

　　二 用戶密碼的設置與恢復
　　使用命令 sudo passwd user-name,然後根據提示輸入sudo密碼，如果驗證通過，則會提示為user-name輸入新密碼。此命令同樣可以為root設置和恢復密碼。

　　三 GRUB的安全性
　　GRUB用於引導系統及進行系統恢復。可以通過對其進行添加操作密碼的方式，來增加其安全性。主要是對」/boot/grub/menu.lst」進行修改。示例如下：

　　沒有修改前：

default 0
timeout 10
title Ubuntu,kernel 2.6.15-26-server-LAMP
root (hd0,2)
kernel /boot/vmlinuz-2.6.15-server root=/dev/hda3 ro quiet splash
initrd /boot/initrd.img-2.6.15-server
savedefault
boot

　　修改後：

default 0
timeout 10
password=12345
title Ubuntu,kernel 2.6.15-26-server-LAMP
lock
root (hd0,2)
kernel /boot/vmlinuz-2.6.15-server root=/dev/hda3 ro quiet splash
initrd /boot/initrd.img-2.6.15-server
savedefault
boot

　　然後reboot系統，待出現GRUB畫面時，將游標移到該選項處，按下『p』，輸入密碼12345即可。通過這種方式，可以有效地防止通過recovery mode進行惡意破壞，如修改root密碼等。

　　由於以上方式的密碼是以明文的形式出現在menu.lst中，也具有危險性，因此可採取對其加密的方式。具體如下：sudo grub-md5-crytp ,然後根據提示輸入兩遍 12345(請更改為任意字元),之後出現31個字元，記錄下該字元串。將password=12345 修改為password --md5 31位字元串，reboot系統即可。

　　四．使用救援光碟恢復系統
　　當忘掉GRUB密碼或因某種原因GRUB無法啟動，此時即可使用救援光碟。將光碟放入CDROM，reboot系統，待出現啟動條目時，移動游標至」Resuce broken system」.隨後會自動監測系統硬體，如語言種類、網路介面、硬碟等。最後將出現命令行選項：

　　Execute a Shell in /dev/discs/disc0/part1
　　Execute a Shell in the installer environment
　　Reinstall GRUB boot loader
　　Choose a different root file system
　　Reboot the system

　　選擇第一項，隨後進入bash shell。注意：/dev/discs/disc0/part1 中的part1表示欲恢復的系統安裝的分區，應根據實際情況選擇。

　　五．Summary
　　處於安全考慮：

　　1 root帳戶應該disable;

　　2 GRUB應設置MD5密碼；

　　3 應設置BIOS，使禁止從CD-ROM啟動系統。

Tags: linux system 系統