понедельник, 20 июля 2009 г.

Ограничение возможности сброса пароля для root на сервере ESX

Возможно, вы уже читали о возможности сброса пароля для учетной записи root при наличии непосредственного доступа к серверу ESX? Суть метода заключается в возможности загрузки сервисной консоли в Single User Mode и получении административных полномочий с последующим выполнением команды смены пароля (подробнее).


Но что же делать, когда ситуация полностью противоположная, и нам требуется ограничить данную возможность и закрыть потенциальную уязвимость? Сделать это можно, установив пароль на загрузчик Grub.

Для этого требуется выполнить следующие шаги:

  • Войдите под учетной записью root (удаленно через ssh, либо локально из консоли, нажав 'Alt+F1' в главном меню ).
  • Введите grub. Сервисная консоль изменит вывод на grub>.
  • Введите md5crypt, а затем наберите выбранный вами пароль для генерации хэша.
  • Запишите, либо скопируйте полученный хэш.
  • Введите quit для выхода из grub.
  • Отредактируйте файл конфигурации grub (например, через: nano /boot/grub/grub.conf) вставив строчку password --md5 <хэш пароля> между строками default и title, затем сохраните изменения ('Ctrl+O') и выйдите ('Ctrl+X').

  • Перезагрузите хостовую машину: shutdown -r now.

Теперь при загрузке системы для для входа в меню Grub вам потребуется предварительно нажать 'p' ввести указанный ранее пароль. На обычную загрузку ESX установка пароля никак не повлияет.

Комментариев нет:

Отправить комментарий