Muy recientemente recuperé una contraseña de root para un servidor Debian arrancando en modo de usuario único. Esto dio como resultado que tuviera acceso a un shell con privilegios de root (el mensaje decía "root@none"). Ahora esto me deja preguntándome por qué un intruso potencial no puede simplemente reiniciar un sistema y usar el mismo proceso para restablecer la contraseña de root e infiltrarse. tu tesoro escondido?!
Ver (https://serverfault.com/questions/482079/debian-boot-to-single-user-mode)
Respuesta1
Varias razones: una, es necesario tener acceso físico a los servidores y la mayoría de los empleados no quieren perder sus trabajos al ser captados por un video CCTV irrumpiendo en los sistemas. Luego, tiene algunas empresas que implementan contraseñas de BIOS/arranque o contraseñas del cargador de arranque. A veces, la opción de "usuario único" requiere una contraseña (si se configura correctamente con anticipación), otras veces simplemente no está disponible.
Sin embargo, en última instancia, tienes razón: este es un vector de ataque muy explotable.
Respuesta2
Un intruso potencial podría reiniciarse en modo de usuario único si tuviera acceso físico. La seguridad física es tan importante como la seguridad del software. Es por eso que las escuelas bloquean las unidades USB y el BIOS. Tienes que bloquearlo.
En /etc/default/grubpuedes descomentar la siguiente línea.
GRUB_DISABLE_RECOVERY="true"
¡Y puf! El modo de usuario único ya no existe.