如何在 CentOS 8 中為單使用者模式設定密碼保護？

---

CentOS 8 提供了一個強大的功能，稱為單使用者模式，它允許系統管理員對 Linux 系統進行故障排除和執行維護任務。但是，對單使用者模式的無限制訪問可能會帶來重大的安全風險，因為它繞過了正常的系統身份驗證。為了增強 CentOS 8 系統的安全性，務必為單使用者模式設定密碼保護。透過實施密碼保護，您可以確保只有具有正確密碼的授權使用者才能以單使用者模式訪問系統。

在本指南中，我們將引導您完成在 CentOS 8 中為單使用者模式設定密碼保護的過程。我們將介紹配置 GRUB 載入程式並設定密碼以限制對單使用者模式訪問的步驟。按照這些步驟，您可以有效地保護您的系統並防止未經授權的訪問。

瞭解 CentOS 8 中的單使用者模式

單使用者模式，也稱為維護模式或救援模式，是 CentOS 8 中的一種特殊作業系統模式，允許系統管理員執行關鍵的系統維護任務。當系統以單使用者模式啟動時，它會繞過正常的系統啟動並僅執行必要的服務，從而提供一個用於故障排除和修復的最小化環境。

在單使用者模式下，系統啟動到 root shell，無需任何使用者身份驗證。這種無限制的訪問許可權可能是一個潛在的安全漏洞，因為任何擁有物理訪問許可權的人都可能完全控制系統。因此，為單使用者模式實施密碼保護對於防止未經授權的訪問和維護 CentOS 8 系統的安全性至關重要。

在下一節中，我們將探討透過配置 GRUB 載入程式來在單使用者模式中實現密碼保護的步驟。

在單使用者模式中實現密碼保護

為了確保 CentOS 8 系統的安全性，務必在單使用者模式下實現密碼保護。透過配置 GRUB 載入程式，我們可以限制對單使用者模式的訪問，並確保只有具有正確密碼的授權使用者才能以這種模式訪問系統。

配置 GRUB 密碼

• 開啟終端並以 root 使用者身份登入。我們需要 root 許可權才能修改 GRUB 配置。

• 使用文字編輯器（如 nano 或 vi）編輯 GRUB 配置檔案 /etc/grub.d/40_custom。例如：

sudo nano /etc/grub.d/40_custom

• 在檔案的末尾新增以下幾行：

set superusers="root" password_pbkdf2 root <hashed_password>

set superusers="root" 行指定可以以提升的許可權訪問 GRUB 的使用者。在本例中，我們將其設定為 root 使用者。

password_pbkdf2 root <hashed_password> 行為指定使用者設定密碼。將 <hashed_password> 替換為所需密碼的雜湊形式。要生成雜湊密碼，可以使用 grub2-mkpasswd-pbkdf2 實用程式。例如：

Grub2-mkpasswd-pbkdf2

• 出現提示時輸入所需的密碼，實用程式將生成雜湊形式。複製生成的雜湊值並替換GRUB 配置檔案中的內容。

• 儲存檔案並退出文字編輯器。

• 透過執行以下命令更新 GRUB 配置：

sudo grub2-mkconfig -o /boot/grub2/grub.cfg

此命令將根據所做的更改生成新的 GRUB 配置檔案。

限制對單使用者模式的訪問

• 開啟終端並以 root 使用者身份登入。

• 使用文字編輯器編輯 GRUB 配置檔案 /etc/default/grub：

sudo nano /etc/default/grub

• 將以下行新增到檔案中：

GRUB_DISABLE_RECOVERY="true"

此行停用 GRUB 中的恢復模式選項，有效地限制了對單使用者模式的訪問。

• 儲存檔案並退出文字編輯器。

• 透過執行以下命令更新 GRUB 配置：

sudo grub2-mkconfig -o /boot/grub2/grub.cfg

此命令使用更新的設定重新生成 GRUB 配置檔案。

測試密碼保護

要測試已實施的密碼保護，請重新啟動 CentOS 8 系統。在啟動過程中，系統將提示您輸入 GRUB 密碼。提供正確的密碼後，您可以訪問單使用者模式。這確保只有具有密碼的授權使用者才能以單使用者模式進入系統。

透過在單使用者模式下實現密碼保護，您可以為 CentOS 8 系統新增額外的安全層。它可以防止未經授權的使用者無限制地訪問系統，並有助於保護關鍵的系統資源和資料。

在下一節中，我們將討論維護安全系統的其他注意事項和最佳實踐。

系統安全的其他注意事項

雖然在單使用者模式下實施密碼保護是保護 CentOS 8 系統的關鍵步驟，但您還應遵循其他注意事項和最佳實踐，以維護強大而安全的環境。讓我們探討您可以採取的其他措施。

使用強使用者密碼

確保 CentOS 8 系統上的所有使用者帳戶都具有強大且唯一的密碼。強密碼通常很長，包含大小寫字母、數字和特殊字元的組合。鼓勵您的使用者定期更新密碼，並避免使用易於猜測的資訊。

使用防火牆規則

在 CentOS 8 系統上配置防火牆以控制傳入和傳出的網路流量。firewalld 服務通常用於 CentOS 8，並提供用於管理防火牆規則的直觀介面。限制對基本服務的訪問，並且僅允許來自受信任來源的連線。定期檢查和更新防火牆規則以適應不斷變化的安全要求。

保持系統更新

定期使用最新的安全補丁和更新來更新 CentOS 8 系統。使系統保持最新狀態有助於解決已知的漏洞，並確保您擁有最新的安全增強功能。設定自動更新或建立手動更新的例程以隨時掌握安全補丁。

啟用 SELinux

SELinux（安全增強型 Linux）是一個安全框架，它提供訪問控制和強制訪問控制 (MAC) 來強制執行系統安全策略。在 CentOS 8 系統上啟用 SELinux 並將其配置為強制執行嚴格的安全策略。這會增加額外的保護層，並有助於減輕潛在安全漏洞的影響。

實施入侵檢測系統

考慮實施入侵檢測系統 (IDS) 以監控 CentOS 8 系統是否存在可疑活動和潛在的安全漏洞。Snort 或 Suricata 等 IDS 軟體可以幫助檢測並提醒您可能的安全事件，讓您有機會採取主動措施。

定期執行安全審計

定期對 CentOS 8 系統進行安全審計，以識別和解決任何安全漏洞或弱點。安全審計可能包括漏洞掃描、滲透測試以及檢查系統日誌是否存在可疑活動。透過主動評估系統的安全狀況，您可以領先於潛在的威脅並降低風險。

結論

保護 CentOS 8 系統包括在單使用者模式下實現密碼保護以及採取其他安全措施。透過配置 GRUB 載入程式以要求密碼，您可以限制未經授權的使用者訪問單使用者模式下的系統。除此之外，使用強使用者密碼、使用防火牆規則、保持系統更新、啟用 SELinux、實施入侵檢測系統以及定期執行安全審計對於維護安全環境至關重要。