System Security (系统安全) – Page 5

20/03/202126/12/2021

[步骤] Linux ssh 输错密码次数限制的设置（openSUSE&SUSE 版）

步骤一：配置 /etc/pam.d/sshd 文件

# sed -i '/auth.*include.*common-auth/a auth        required    pam_tally2.so onerr=fail audit silent deny=15 unlock_time=3000' /etc/pam.d/sshd

（
补充：
1) 这里的 pam_tally2.so 代表使用 pam_tally2.so 模块
2) 这里的 deny=15 代表输错 15 次后会禁止登陆
3) 这里的 unlock_time=3000 代表禁止登陆后 3000 毫秒后可以重新登陆
）

步骤二：配置 /etc/pam.d/sshd 文件

# sed -i '/account.*include.*common-account/a account     required    pam_tally2.so' /etc/pam.d/sshd

（补充：这里的 pam_tally2.so 代表加载 pam_tally2.so 模块）

05/03/202126/12/2021

[步骤] Linux su 命令白名单的设置

步骤一：设置只能属于某一个组的用户才能使用 su 命令
1.1 CentOS&RHEL 设置只能属于某一个组的用户才能使用 su 命令

# sed -i '/auth.*include.*common-auth/a     auth     required       pam_wheel.so use_uid' /etc/pam.d/su

（补充：这里以设置只能 wheel 才能使用 su 命令为例）

1.2 openSUSE&SUSE 设置只能属于某一个组的用户才能使用 su 命令

# sed -i '/auth.*include.*common-auth/a     auth     required       pam_wheel.so use_uid' /etc/pam.d/su
# sed -i '/auth.*include.*common-auth/a     auth     required       pam_wheel.so use_uid' /etc/pam.d/su-l

（补充：这里以设置只能 wheel 才能使用 su 命令为例）

步骤二：将需要使用 su 命令的用户添加到可以使用 su 命令的组

# usermod -a -G wheel eternalcenter

（补充：这里以给 eternalcenter 用户添加 wheel 附属所属组为例）

步骤三：验证 su 命令白名单
3.1 以其他普通用户的身份使用 su 命令切换到其他用户

（步骤略）

（补充：就算密码正确也会显示 su: Authentication failure）

3.2 以在白名单用户的身份使用 su 命令切换到其他用户

# su - eternalcenter
$ su - root

05/03/202126/12/2021

[步骤] GRUB2 Bootloader 密码的设置（CentOS&RHEL 版）

步骤一：生成密码的 GRUB2 密码的 SHA512 值

# grub2-mkpasswd-pbkdf2
Enter password: 
Reenter password: 
PBKDF2 hash of your password is 
grub.pbkdf2.sha512.10000.
B857B79D02FF55CA3A69B8485C1A4A427424630C804CC8A89134520A34E056D7882A778F6BC8AD856CB95DF8B99BE25F9FEAD899D826BB3915FB20BAD682D10A.4A1CF49B7F815A0578031CCA2CE98C66BDFBEAB0AE2721531BB54AFC6CFFA990FBD9062F41C006376C283B717FEC1BD9BB1AFB882AF91B5F4A812459D7974D1F

（补充：这里以生成 eternalcenter 的 GRUB2 SHA512 值为例）

（注意：grub.pbkdf2.sha512.10000……. 后面的一长串字母和数字其实是一行，这里因为是显示问题所以看上去是多行）

步骤二：创建 GRUB2 密码文件
2.1 给 EFI 的 CentOS&RHEL 创建 GRUB2 密码文件

echo "GRUB2_PASSWORD=grub.pbkdf2.sha512.10000.B857B79D02FF55CA3A69B8485C1A4A427424630C804CC8A89134520A34E056D7882A778F6BC8AD856CB95DF8B99BE25F9FEAD899D826BB3915FB20BAD682D10A.4A1CF49B7F815A0578031CCA2CE98C66BDFBEAB0AE2721531BB54AFC6CFFA990FBD9062F41C006376C283B717FEC1BD9BB1AFB882AF91B5F4A812459D7974D1F" > /boot/efi/EFI/redhat/user.cfg

（
补充：
1) 登录用户 root
2) 登陆密码 eternalcenter
3) 这里的 grub.pbkdf2.sha512.10000.B857B…… 是由步骤一生成的
）

（注意：这里其实只有一行，因为是显示问题所以看上去是多行）

2.2 给 BIOS 的 CentOS&RHEL 创建 GRUB2 密码文件

echo "GRUB2_PASSWORD=grub.pbkdf2.sha512.10000.B857B79D02FF55CA3A69B8485C1A4A427424630C804CC8A89134520A34E056D7882A778F6BC8AD856CB95DF8B99BE25F9FEAD899D826BB3915FB20BAD682D10A.4A1CF49B7F815A0578031CCA2CE98C66BDFBEAB0AE2721531BB54AFC6CFFA990FBD9062F41C006376C283B717FEC1BD9BB1AFB882AF91B5F4A812459D7974D1F" > /boot/grub2/user.cfg

（
补充：
1) 登录用户 root
2) 登陆密码 eternalcenter
3) 这里的 grub.pbkdf2.sha512.10000.B857B…… 是由步骤一生成的
）

（注意：这里其实只有一行，因为是显示问题所以看上去是多行）

步骤三：测试 GRUB2 Bootloader 密码
3.1 重启系统

（步骤略）

3.2 进入到 GRUB2 Bootloader 模式

当启动系统时按下 “E”：

补充：更改 GRUB2 的登陆用户
补充一：给 EFI 的 CentOS&RHEL 更改 GRUB2 的登陆用户

# echo <user> > /boot/efi/EFI/redhat/user.cfg

补充二：给 BIOS 的 CentOS&RHEL 更改 GRUB2 的登陆用户

# echo <user> > /boot/grub2/user.cfg

04/03/202126/12/2021

[工具] Shell 自动化部署 GRUB2 Bootloader 密码（CentOS&RHEL 版）

介绍：

作者：朱明宇
名称：自动化部署 GRUB2 Bootloader 密码（CentOS&RHEL 版）
作用：自动化部署 GRUB2 Bootloader 密码（CentOS&RHEL 版）

使用方法：
1. 给此脚本添加执行权限
2. 执行此脚本
3. 当启动系统时，左下角出现以下内容时按下 “E”：

注意：
1. 登陆的账号是 root
2. 登陆的密码是 eternalcenter

脚本：

#!/bin/bash

if [ -d /sys/firmware/efi ]; then
        echo "GRUB2_PASSWORD=grub.pbkdf2.sha512.10000.B857B79D02FF55CA3A69B8485C1A4A427424630C804CC8A89134520A34E056D7882A778F6BC8AD856CB95DF8B99BE25F9FEAD899D826BB3915FB20BAD682D10A.4A1CF49B7F815A0578031CCA2CE98C66BDFBEAB0AE2721531BB54AFC6CFFA990FBD9062F41C006376C283B717FEC1BD9BB1AFB882AF91B5F4A812459D7974D1F" > /boot/efi/EFI/redhat/user.cfg
else
        echo "GRUB2_PASSWORD=grub.pbkdf2.sha512.10000.B857B79D02FF55CA3A69B8485C1A4A427424630C804CC8A89134520A34E056D7882A778F6BC8AD856CB95DF8B99BE25F9FEAD899D826BB3915FB20BAD682D10A.4A1CF49B7F815A0578031CCA2CE98C66BDFBEAB0AE2721531BB54AFC6CFFA990FBD9062F41C006376C283B717FEC1BD9BB1AFB882AF91B5F4A812459D7974D1F" > /boot/grub2/user.cfg
fi

22/02/202126/12/2021

[工具] Shell 自动化部署 GRUB2 Bootloader 密码（openSUSE&SUSE 版）

介绍：

作者：朱明宇
名称：自动化部署 GRUB2 Bootloader 密码（openSUSE&SUSE 版）
作用：自动化部署 GRUB2 Bootloader 密码（openSUSE&SUSE 版）

使用方法：
1. 给此脚本添加执行权限
2. 执行此脚本
3. 当启动系统时，左下角出现以下内容时按下 “E”：
C: Command Line    E: Edit Entry

注意：
1. 登陆的账号是 root
2. 登陆的密码是 eternalcenter

脚本：

#!/bin/bash

echo "#!/bin/sh
exec tail -n +3 \$0
# This file provides an easy way to add custom menu entries.  Simply type the
# menu entries you want to add after this comment.  Be careful not to change
# the 'exec tail' line above.
set superusers=\"root\"
password_pbkdf2 root grub.pbkdf2.sha512.10000.B857B79D02FF55CA3A69B8485C1A4A427424630C804CC8A89134520A34E056D7882A778F6BC8AD856CB95DF8B99BE25F9FEAD899D826BB3915FB20BAD682D10A.4A1CF49B7F815A0578031CCA2CE98C66BDFBEAB0AE2721531BB54AFC6CFFA990FBD9062F41C006376C283B717FEC1BD9BB1AFB882AF91B5F4A812459D7974D1F
export superusers
set unrestricted_menu=\"y\"
export unrestricted_menu" > /etc/grub.d/40_custom

grep "rd.shell=0" /etc/default/grub
if [ $? -ne 0 ];then
        sed -i '/GRUB_CMDLINE_LINUX_DEFAULT="/s/"$/ rd.shell=0"/' /etc/default/grub
fi

grep "showopts" /etc/default/grub
if [ $? -ne 0 ];then
        sed -i '/GRUB_CMDLINE_LINUX_DEFAULT="/s/"$/ showopts"/' /etc/default/grub
fi

grep "LANG=C" /etc/default/grub
if [ $? -ne 0 ];then
        sed -i '/GRUB_CMDLINE_LINUX_DEFAULT="/s/"$/ LANG=C"/' /etc/default/grub
fi

grub2-mkconfig -o /boot/grub2/grub.cfg