Vor Kurzem habe ich ein Root-Passwort für einen Debian-Server wiederhergestellt, indem ich ihn im Einzelbenutzermodus gebootet habe. Dadurch hatte ich Zugriff auf eine Shell mit Root-Berechtigungen (die Eingabeaufforderung lautete „root@none“). Jetzt frage ich mich, warum ein potenzieller Eindringling nicht einfach ein System neu starten und mit demselben Vorgang das Root-Passwort zurücksetzen und Ihre Schatzkammer infiltrieren kann?!
Sehen (https://serverfault.com/questions/482079/debian-boot-to-single-user-mode)
Antwort1
Aus mehreren Gründen: Erstens müssen Sie physischen Zugriff auf die Server haben, und die meisten Mitarbeiter möchten ihren Job nicht verlieren, weil sie auf Videoaufnahmen von Überwachungskameras beim Einbrechen in Systeme erwischt werden. Dann gibt es einige Unternehmen, die BIOS-/Boot-Passwörter oder Bootloader-Passwörter implementieren. Manchmal erfordert die Option „Einzelbenutzer“ ein Passwort (wenn es im Voraus richtig eingerichtet wurde), manchmal ist es einfach nicht verfügbar.
Letztendlich haben Sie jedoch Recht – dieser Angriffsvektor lässt sich sehr leicht ausnutzen.
Antwort2
Ein potenzieller Eindringling könnte im Einzelbenutzermodus neu starten, wenn er physischen Zugriff hätte. Physische Sicherheit ist genauso wichtig wie Softwaresicherheit. Deshalb sperren Schulen USB-Laufwerke und das BIOS. Sie müssen es sperren.
In /etc/default/grubkönnen Sie die folgende Zeile auskommentieren
GRUB_DISABLE_RECOVERY="true"
Und schwupps! Der Einzelbenutzermodus ist weg.