如何在 CentOS 8 中为单用户模式设置密码保护？

---

CentOS 8 提供了一个强大的功能，称为单用户模式，它允许系统管理员对 Linux 系统进行故障排除和执行维护任务。但是，对单用户模式的无限制访问可能会带来重大的安全风险，因为它绕过了正常的系统身份验证。为了增强 CentOS 8 系统的安全性，务必为单用户模式设置密码保护。通过实施密码保护，您可以确保只有具有正确密码的授权用户才能以单用户模式访问系统。

在本指南中，我们将引导您完成在 CentOS 8 中为单用户模式设置密码保护的过程。我们将介绍配置 GRUB 引导程序并设置密码以限制对单用户模式访问的步骤。按照这些步骤，您可以有效地保护您的系统并防止未经授权的访问。

了解 CentOS 8 中的单用户模式

单用户模式，也称为维护模式或救援模式，是 CentOS 8 中的一种特殊操作系统模式，允许系统管理员执行关键的系统维护任务。当系统以单用户模式启动时，它会绕过正常的系统启动并仅运行必要的服务，从而提供一个用于故障排除和修复的最小化环境。

在单用户模式下，系统启动到 root shell，无需任何用户身份验证。这种无限制的访问权限可能是一个潜在的安全漏洞，因为任何拥有物理访问权限的人都可能完全控制系统。因此，为单用户模式实施密码保护对于防止未经授权的访问和维护 CentOS 8 系统的安全性至关重要。

在下一节中，我们将探讨通过配置 GRUB 引导程序来在单用户模式中实现密码保护的步骤。

在单用户模式中实现密码保护

为了确保 CentOS 8 系统的安全性，务必在单用户模式下实现密码保护。通过配置 GRUB 引导程序，我们可以限制对单用户模式的访问，并确保只有具有正确密码的授权用户才能以这种模式访问系统。

配置 GRUB 密码

• 打开终端并以 root 用户身份登录。我们需要 root 权限才能修改 GRUB 配置。

• 使用文本编辑器（如 nano 或 vi）编辑 GRUB 配置文件 /etc/grub.d/40_custom。例如：

sudo nano /etc/grub.d/40_custom

• 在文件的末尾添加以下几行：

set superusers="root" password_pbkdf2 root <hashed_password>

set superusers="root" 行指定可以以提升的权限访问 GRUB 的用户。在本例中，我们将其设置为 root 用户。

password_pbkdf2 root <hashed_password> 行为指定用户设置密码。将 <hashed_password> 替换为所需密码的哈希形式。要生成哈希密码，可以使用 grub2-mkpasswd-pbkdf2 实用程序。例如：

Grub2-mkpasswd-pbkdf2

• 出现提示时输入所需的密码，实用程序将生成哈希形式。复制生成的哈希值并替换GRUB 配置文件中的内容。

• 保存文件并退出文本编辑器。

• 通过运行以下命令更新 GRUB 配置：

sudo grub2-mkconfig -o /boot/grub2/grub.cfg

此命令将根据所做的更改生成新的 GRUB 配置文件。

限制对单用户模式的访问

• 打开终端并以 root 用户身份登录。

• 使用文本编辑器编辑 GRUB 配置文件 /etc/default/grub：

sudo nano /etc/default/grub

• 将以下行添加到文件中：

GRUB_DISABLE_RECOVERY="true"

此行禁用 GRUB 中的恢复模式选项，有效地限制了对单用户模式的访问。

• 保存文件并退出文本编辑器。

• 通过运行以下命令更新 GRUB 配置：

sudo grub2-mkconfig -o /boot/grub2/grub.cfg

此命令使用更新的设置重新生成 GRUB 配置文件。

测试密码保护

要测试已实施的密码保护，请重新启动 CentOS 8 系统。在启动过程中，系统将提示您输入 GRUB 密码。提供正确的密码后，您可以访问单用户模式。这确保只有具有密码的授权用户才能以单用户模式进入系统。

通过在单用户模式下实现密码保护，您可以为 CentOS 8 系统添加额外的安全层。它可以防止未经授权的用户无限制地访问系统，并有助于保护关键的系统资源和数据。

在下一节中，我们将讨论维护安全系统的其他注意事项和最佳实践。

系统安全的其他注意事项

虽然在单用户模式下实施密码保护是保护 CentOS 8 系统的关键步骤，但您还应遵循其他注意事项和最佳实践，以维护强大而安全的环境。让我们探讨您可以采取的其他措施。

使用强用户密码

确保 CentOS 8 系统上的所有用户帐户都具有强大且唯一的密码。强密码通常很长，包含大小写字母、数字和特殊字符的组合。鼓励您的用户定期更新密码，并避免使用易于猜测的信息。

使用防火墙规则

在 CentOS 8 系统上配置防火墙以控制传入和传出的网络流量。firewalld 服务通常用于 CentOS 8，并提供用于管理防火墙规则的直观界面。限制对基本服务的访问，并且仅允许来自受信任来源的连接。定期检查和更新防火墙规则以适应不断变化的安全要求。

保持系统更新

定期使用最新的安全补丁和更新来更新 CentOS 8 系统。使系统保持最新状态有助于解决已知的漏洞，并确保您拥有最新的安全增强功能。设置自动更新或建立手动更新的例程以随时掌握安全补丁。

启用 SELinux

SELinux（安全增强型 Linux）是一个安全框架，它提供访问控制和强制访问控制 (MAC) 来强制执行系统安全策略。在 CentOS 8 系统上启用 SELinux 并将其配置为强制执行严格的安全策略。这会增加额外的保护层，并有助于减轻潜在安全漏洞的影响。

实施入侵检测系统

考虑实施入侵检测系统 (IDS) 以监控 CentOS 8 系统是否存在可疑活动和潜在的安全漏洞。Snort 或 Suricata 等 IDS 软件可以帮助检测并提醒您可能的安全事件，让您有机会采取主动措施。

定期执行安全审计

定期对 CentOS 8 系统进行安全审计，以识别和解决任何安全漏洞或弱点。安全审计可能包括漏洞扫描、渗透测试以及检查系统日志是否存在可疑活动。通过主动评估系统的安全状况，您可以领先于潜在的威胁并降低风险。

结论

保护 CentOS 8 系统包括在单用户模式下实现密码保护以及采取其他安全措施。通过配置 GRUB 引导程序以要求密码，您可以限制未经授权的用户访问单用户模式下的系统。除此之外，使用强用户密码、使用防火墙规则、保持系统更新、启用 SELinux、实施入侵检测系统以及定期执行安全审计对于维护安全环境至关重要。