这是一个创建于 1450 天前的主题,其中的信息可能已经有所发展或是发生改变。
如图,我想要这个“设置密码”功能不起作用,实现不能通过控制台重置 root 密码。
第 1 条附言 · 2020-04-30 18:03:55 +08:00
刚刚拿了台不用的阿里轻量云服务器试了一下,安装 Ubuntu 系统时选择 set up encrypted LVM 或者手动分区创建一个加密分区挂载到 /etc ,就无法通过控制台重置密码了。其实不一定要 LVM,启用 LUKS 即可。
 |
1
nightwitch 2020-04-30 15:32:24 +08:00  3
这个估计做不到,不过你可以直接禁止 root 用户登陆,修改 root 的 shell 为 nologin 禁止本地登陆,禁止 root ssh 登陆,禁止 su 和 sudo su 切换到 root 。
BTW: 你想禁止重置密码的原因是什么,我闻到了一丝 x-y problem 的味道 https://coolshell.cn/articles/10804.html |
 |
2
lookas2001 2020-04-30 15:35:27 +08:00 via Android
设置一下 luks 落盘加密?
|
 |
3
wangyzj 2020-04-30 15:35:29 +08:00
|
|
4
wangyzj 2020-04-30 15:36:40 +08:00
# passwd -d root
你试试把 我觉得够呛 |
|
5
lookas2001 2020-04-30 15:44:39 +08:00 via Android 2
如果你因为不信任云厂商而想将云厂商修改服务器密码的能力去掉,这不现实,云厂商有着直接读取磁盘的能力,即使设置了全盘加密,而执法机构要求云厂商配合将服务器解密,云厂商还是可以 dump 内存的。可信计算可以解决这个问题的,除此之外,还可以将自己的服务器托管到一个你信任的环境(云以及执法)下。:)
如果你担心账户被攻破殃及账户下的服务器,攻击者除了用 root 登录,还可以直接进入恢复环境,或者直接把云盘卸下来挂载到其他服务器上。 |
 |
6
henvm 2020-04-30 15:51:42 +08:00
@lookas2001 想问下,加密磁盘之后,对以后的运行数据读写效率上有没有影响?
|
|
7
lookas2001 2020-04-30 16:04:56 +08:00 via Android
@henvm 肯定是有的,而且可能不小,具体多少看情况。
|
 |
8
yezhiqiucn 2020-04-30 16:14:10 +08:00 1
干掉系统内部 aliyun-service aegis_update aegis_client
|
 |
9
stillyu 2020-04-30 16:29:53 +08:00
@yezhiqiucn 那自己上传个 ISO 文件安装的系统,是不是没有这个服务?
|
 |
10
pmispig 2020-04-30 16:37:31 +08:00
把阿里云的 agent 全部干掉就可以了
|
 |
11
ohao 2020-04-30 16:44:09 +08:00
|
 |
12
rrfeng 2020-04-30 16:46:40 +08:00
然后写个脚本,每次启动后重置 root 密码。它不管怎么改,密码还是存在系统里的……
然后你脚本挂了写了一堆乱码进去,哈哈哈哈 |
 |
14
Greatshu 2020-04-30 17:00:36 +08:00
netboot 装个新系统
|
 |
15
Whsiqi 2020-04-30 17:05:01 +08:00 via Android
换 windows
|
 |
16
mm2x 2020-04-30 17:07:02 +08:00
|
 |
17
xabc 2020-04-30 17:13:33 +08:00
/etc/securetty 这个文件全部注释即刻
|
 |
18
tadtung 2020-04-30 17:18:41 +08:00 via Android
@yezhiqiucn 实际上自己 dd 干净系统最好,阿里云盾等阿里内置服务会扫你文件
|
 |
19
baobao1270 OP 统一回复一下,安装 Ubuntu 的时候用 Encrypted LVM 格式化整个系统即可,或者为 /etc 分一个 luks 加密分区。
@nightwitch @wangyzj 不是禁止 root 登录,也不是禁止 root ssh,我已经禁止了 root 直接登录,只允许 sudo 。 @lookas2001 这是唯一靠谱的。亲测可用 @wangyzj 这个只能清空一次 root 密码。我要实现的是 @tadtung @yezhiqiucn @pmispig @Greatshu @mm2x 没用。我直接重装干净的系统的,但是这个功能不依赖于安骑士什么的实现,估计是直接改文件系统,所以没用。我之前发过关于 netboot 重装系统的帖子了…… @ohao 似乎是这样的……全盘加密后就无法重置密码了。 @rrfeng 这个方法有点 dirty …… @lookas2001 说的在理,作为个人没有必要担心 dump 内存这种事情…… 一开始是的确是担心账户被攻破殃及账户下的服务器,后来想想禁用了这个也没啥用,还不如开 F2A 验证。 不过研究一下也挺有趣的。 |
 |
20
abcbuzhiming 2020-04-30 18:00:30 +08:00
麻烦楼主搞清楚一件事情,云计算厂商拥有服务器的所有权,它仅仅是租用计算资源给你,服务器所有权并不是你的,请务必认真的阅读以下云计算机厂商向你提供服务的授权协议。在租给你计算资源的同时,云厂商有监控计算资源不被滥用的权力,能从控制台重置密码是这种权力的一部分,你如果真的通过某种方式,让控制台重置密码功能失灵,云厂商是可以以以你入侵控制计算机系统的罪名收回你的服务器并且起诉你的,建议不要用这种会给自己惹来麻烦的行为,既然这么反感这个东西,不用云服务器就好
|
 |
21
chinanala 2020-04-30 18:47:04 +08:00
实测使用 dd 纯净安装系统后干掉阿里云监控进程就无法通过控制台重置密码了
|
 |
22
zqfxch 2020-04-30 18:47:37 +08:00 1
楼上有点过了,一般不会到这么严重。
不过楼主当你密码丢失的时候重置不了的时候就不要找售后了 |
 |
23
wdlth 2020-04-30 22:19:48 +08:00
LUKS 自动挂载也是可以 DUMP 出来的
https://blog.appsecco.com/breaking-full-disk-encryption-from-a-memory-dump-5a868c4fc81e |
 |
24
james122333 2020-05-01 02:59:25 +08:00
云服务有好有坏阿 还有以为放个 jar 档就没事的
这行业很占优势的 |
|
25
james122333 2020-05-01 03:09:07 +08:00
做正事有做正事的好
|
 |
26
opengps 2020-05-01 07:55:58 +08:00 via Android
为什么要做这个操作?
失去了后台密码管理能力,麻烦的是你自己,密码忘记,或者被恶意脚本篡改之类的情况,你不依赖主机内部插件就只能选择重装系统了 如果你担心的是云厂商碰你数据,那么这个操作丝毫不起作用,虚拟机后台可以轻松多副本,选规范化运维的大厂相对可靠,不仅仅是规定不能碰用户数据,流程上也会禁用相关权限。 真如果你服务器上运行了某些违规严重的东西,那么任何一家厂商,都需要对某单位提供支持,我做阿里云业务时候听说过一些,阿里云有专门的法务部对接一些案子 |
 |
27
lc7029 2020-05-01 12:47:26 +08:00
你的机器在云上,宿主机都是云厂商的,能读写你的磁盘,不让云做这些事情是实现不了的。
|
 |
28
inwar 2020-05-01 15:11:07 +08:00 via Android
试一下把 cloud-init 卸载了,没有验证过,不过改密应该是依赖这个,卸载后磁盘扩容这些云镜像功能也会失效
|
Select Language