【任務說明】
root賬戶是Linux操作系統中的超級管理員,在生產企業如果新老職工在工作交接中沒有交接Linux系統的密碼,或在現實生活中忘記了root密碼,就需要我們進入單用戶模式破解Linux系統的密碼。
Linvx下的啓動模式常用到的有單用戶模式、普通多用戶模式、完全多用戶模式和XWin模式。單用戶模式下,系統並沒有完全運行起來,只是部分程序運行,這時也不提供任何遠程網絡服務。進入單用戶模式進行系統維護路由root 賬戶來完成的,而且是由root賬戶直接進入,沒有密碼檢驗。單用戶模式給運維人員帶來便利的同時,也隱藏着巨大的安全隱患,因爲單用戶模式下的root賬戶對系統有完全的操作權限,在可以修復系統的同時,也可能隨時對系統進行破壞。
本任務的主要內容是root賬戶如何進人單用戶模式,並修改了root密碼。以及對進人單用戶模式設置障礙,即設置進人單用戶模式的密碼.
【任務實施】
要完成此任務,我們通過下面2個子任務的學習來達到我們的目的。
【子任務一】進人單用戶模式並修改root賬戶密碼;
【子任務二】給單用戶模式如密。
【子 任務一】進入單用戶模式並修改root賬戶密碼
進入單用戶模式有兩種方式,下面分別介紹。
方式1:使用a操作按鍵進人單用戶模式(推薦:操作簡單,這是進人單用戶模式最快速的方法)
第1步:進入kernel編輯界面
開機進入GRUB,在讀秒的時候,披兩次a鍵,編輯kernel參數。
第2步:編輯kernel啓動參數
進入kernel編輯界面,輸人空格後,再輸入數字【1】或【singlel】,如圖所示,以告訴Linux內核後續的啓動過程需要進人單用戶模式,然後按Enter鍵即可進人單用戶模式。
第3步:用【Passwd】命令修改root密碼
系統無須密碼進入單用戶模式,使用【passwd 】命令修改root賬戶口令。
輸入【Passwd】命令,然後按Enter鍵,系統等待輸入新的root密碼,輸入完成後按Enter鍵再次確認輸入新的密碼,輸入完成後按Enter鍵即可。需要強調的是,輸入密碼的時候,是沒有任何顯示的,因爲主機接收到鍵盤的輸入字符後不再輸出到顯示器上,減少了輸人密碼的失竊風險。
當確認兩次密碼輸入一致後,會看到“successfully”即密碼修改成功的信息提示。
第4步:進入多用戶系統
輸人【init 3】進入能夠提供網絡服務的多用戶模式文本模式,輸入【init 5】進入能夠提供網絡服務的多用戶模式圖形界面模式,測試剛纔改過的口令。
輸入用戶名【root】,然後按Enter鍵輸入修改後的新密碼,確認即可進入系統。
備註:輸入密碼的時候,系統是沒有任何顯示的。
方式2:使用e操作按鍵進入單用戶模式
第1步:進入kernel選擇界面
開機Linux讀秒的時候,如圖所示。
看到這個界面,按e鍵,進人如圖所示的界面。
第二步:進入kernel編輯界面
再次按e鍵,進入如下有3個菜單的界面,如圖所示。
第3步。編輯kernel啓動參數
按↑、↓,移動光標至以“kernel”開頭的第二行後再次按e鍵,編輯Ljnux啓動級別,如圖所示
輸入空格後,在行末輸人數字【1】或【single】,以告訴Linux內核後續的啓動過程需要進
入單用戶模式,然後按Enter鍵,系統返回到啓動菜單界面,如圖所示。
第4步:進入單用戶模式
按b鍵,這時系統開機無須密碼,進入單用戶模式。
第5步:使用【passwd】命令修改root密碼
輸人【Passwd】命令,然後按Enter鍵,系統等待輸人新的root密碼,輸入完成後按Enter鍵再次確認輸入新的密碼,輸人完成後按Enter鍵即可。
當確認兩次密碼輸入一致後,會看到“s uccessfully”即密碼修改成功的信息提示。
如果在輸人【Passwd】後發現,根本沒有提示輸人新密碼,而是直接跳過去,根本沒法更改密碼,出現這種情況的原因是,默認安裝CentOS.6.5時seLinux是默認開啓的。在seLinux 下,Passwd是沒法應用的,要臨時關閉seLinux。
輸入【setenforce 0】關閉seLinux,這樣就可以在單用戶模式下更改密碼了。
備註:當Linux系統進入單用戶模式後,由於已經停止了任何網絡服務和網絡配置(網絡接口無效),不會有任何其他人(通過網絡)干擾系統的運行狀態,管理員可以放心地對Linux系統進行系統級別的維護操作。
在單用戶模式下,Linux系統除了不具備網絡功能外,是功能完整的操作系統。在單用戶模式下可以進行如下維護和管理工作。
(1)重新設置超級用戶口令。
(2)維護系統的分區、LVM和文件系統等。
(3)進行系統的備份和恢復。
單用戶模式的一個典型應用是root賬戶的“口令設置”。對於一些臨時使用或實驗用途的Linux系統(如學生實驗室),經常會更換使用者,而root賬戶的口令可能會被遺失,這時可以進人單用戶模式更改root賬戶的口令。
【子任務二】給單用戶模式加密
如果能夠近距離接觸到服務器,就可以輕鬆地進入單用戶模式修改root賬戶密碼,這樣會存在一定的安全風險。那麼,如何給單用戶模式設置密碼呢?首先要對GRUB進行密碼配置,修改/boot /grub/grub. conf 或者/etc/grub. conf(/etc/grub. conf是/boot/grub/grub. conf的符號鏈接)配置文件即可。
有兩種方式可以對進入單用戶模式設置密碼:明文方式和MD5加密方式。
方式1:明文方式
明文方式即單用戶模式的密碼在系統文件(/etc/grub. conf)中是可見的,沒有加密的。
第1步:打開/boot/grub/g了ub. conf文件
輸入如下命令,使用vim編輯器打開/boot/grub/grub. conf文件:
【vim /boot/grub/grub. conf】
第二步:編輯/boot/grub/grub. conf文件
在splashimage這個參數下一行添加: Password=密碼,如圖所示。
保存後重新啓動計算機,再次登錄到GRUB菜單頁面的時候就會發現,這時已經不能直接按e鍵編輯啓動標籤了,需先使用【p 】命令,輸入正確的密碼後才能夠對啓動標籤進行編輯,如圖所示。
但是我們設置了明文密碼也不是很安全。如果他人通過合法途徑進入到系統後得到了/boot/grub/grub. conf這個文件的明文密碼後仍然可以修改GRUB啓動標籤從而進入單用戶模式。
方式2:MD5加密方式
MD5加密方式即進人單用戶模式的密碼是以密文的方式存在系統文件(/etc/grub.conf))中的。
第1步:給密碼進行md5加密
在終端中輸人【grub-md5-crypt】後按Enter鍵,這時系統會要求輸入兩次相同的密碼,之後系統便會輸出MD5碼,如圖所示。
第二步:添加md5密文到/etc/grub. conf文件中
將生成的MD5密文複製下來,然後編輯/etc/grub. conf文件,在splashimage這個參數下一行添加:
Password 一一 md5 $ 1 $ 0Cpss $ xCdHV0pEo j3.z0uCIZhiG/
保存後重新啓動計算機,再次登錄到GRUB菜單頁面的時候發現,這時也不能直接按e鍵編輯啓動標籤了,需先使用【p】命令後,輸入正確的密碼後才能夠啓動標籤進行編輯。
