아시다시피 CentOS의 루트 비밀번호를 복구하는 것은 쉽습니다. GRUB에 "E"를 입력하고 다시 마운트해 보세요. 비밀번호 복구를 방지할 수 있는 방법이 있나요?
나는 루트 암호를 복구하는 모든 일반적인 방법을 서버(GRUB)에 원격으로 액세스할 수 있는 사람들에게만 제한하고 싶습니다. 물리적 액세스는 모든 제한된 방법을 우회할 수 있으므로 원격 솔루션이 필요합니다.
답변1
GRUB에 다시 마운트하여 CentOS에서 비밀번호 복구를 방지하는 것은 어려울 수 있으며 부트로더 구성을 수정하고 추가 보안 조치를 구현해야 합니다.
가능한 모든 비밀번호 복구 방법을 완전히 제거하는 것은 어렵습니다.
다음은 몇 가지 방법입니다.
- 전체 디스크 암호화, LUKS(Linux 통합 키 설정)와 같은 도구를 사용하여 전체 디스크 암호화를 달성합니다.
- 보안 부트, 시스템의 BIOS 또는 UEFI 설정에서 보안 부팅을 활성화합니다.
- BIOS/UEFI 비밀번호, 부팅 설정에 대한 무단 액세스를 방지하기 위해 시스템의 BIOS 또는 UEFI 펌웨어에 대한 강력한 암호를 설정하십시오.
- GRUB 비밀번호, 명령줄 인터페이스에 대한 무단 액세스를 방지하기 위해 GRUB의 비밀번호를 구성합니다.
스스로에게 물어봐야 할 질문은 사용자 친화성/단순성 대 보안입니다.
물리적 접근은 제한된 모든 방법을 우회할 수 있습니다.
나에게 물리적 접근은 누군가가 서버를 훔치고, 하드 드라이브를 제거하고, 자신의 컴퓨터에서 읽는 것을 의미하기도 합니다.
물리적으로 접근할 수 있는 사람이 비밀번호를 재설정하는 것을 방지하려면 다음 명령을 사용하여 디스크를 암호화해야 합니다.dm-암호화/cryptsetup/LUKS.
그러나 원격 사용자가 시스템에 액세스하는 경우 이것이 GRUB와 어떤 관련이 있습니까? dm-crypt/cryptsetup/LUKS를 사용한 디스크 암호화는 원격 액세스와 관련하여 GRUB와 직접적인 관련이 없습니다.
GRUB(Grand Unified Bootloader)는 시스템의 초기 부팅 프로세스와 운영 체제 로딩을 담당합니다. 디스크 암호화에는 직접적으로 관여하지 않습니다.
물리적 액세스에 대한 보안을 강화하려면 하드 드라이브를 암호화해야 합니다. 비밀번호를 수동으로 입력하고 싶지 않다면 누가, 어떻게 서버를 다시 시작해야 하는지가 문제입니다.
현장에 누군가 있는 경우 LUKS 키를 저장하는 동글 역할을 하는 USB 스틱을 만들 수도 있습니다. 서버가 부팅되면 USB 스틱이 삽입되고 서버는 USB 스틱에서 키/암호를 읽어 하드 드라이브의 암호를 해독하고 시스템을 부팅합니다.
누군가 USB 스틱에 액세스할 수 있게 되면 키와 비밀번호도 갖게 됩니다.
원격 액세스 보안
원격 솔루션이 필요합니다..
원격 접속 서버의 보안을 강화합니다. 비밀번호 대신 SSH 및 키 기반 인증과 같은 보안 프로토콜을 사용하는 경우. 직접 루트 로그인을 비활성화하고 원격 액세스가 제한된 별도의 사용자 계정을 만드십시오. 잠재적인 보안 취약점을 해결하려면 서버의 소프트웨어를 정기적으로 업데이트하고 패치하세요.
답변2
편집을 방지하고 싶은 경우에만 다음 비밀번호를 사용하여 보호 grub할 수 있습니다 .grubGRUB의 인증 및 승인지시하다.
기본적으로 재부팅할 때마다 운영 체제를 로드하려면 비밀번호도 필요합니다. OS 부팅을 허용해야 하지만 답변 --unrestricted과 같이 비밀번호를 추가하여 편집을 보호해야 합니다.menuentryGRUB 메뉴 편집 보호 전용.