Вопросы Теги

Проверьте 'fsck' автоматически

Отключение пароля root не действительно полезно. Или существует способ стать корнем, не используя пароль (такой как другая системная служба или дыра в системе безопасности в программе, работающей как корень), в этом случае независимо от того, что Вы делаете о пароле, не важно; или становление корнем требует пароля, в этом случае достаточно сильный пароль так же безопасен как отключение пароля.

Сильный пароль должен противостоять атакам перебором. Существует первый уровень безопасности, который является, что обычные пользователи не могут считать хэш пароля, таким образом, они могут только предпринять попытки путем вызова su или login или подобный сервис. Даже если взломщику удается получить хэш пароля, они должны вычислить хеши грубой силой, пока они не находят правильный. OpenBSD правильно использует медленный хеш; если Вы хотите, чтобы Ваш пароль противостоял миллиарду ботов ЦП в течение 10 лет, пароль с 60 битами энтропии (13 случайных букв) является излишеством.

Таким образом, моя рекомендация состоит в том, чтобы генерировать сильный случайный пароль, записать его на листке бумаги и сохранить его в физически безопасном месте. Тем путем Вы имеете пароль в наличии в чрезвычайной ситуации.

Конечно, при установке sudo затем учетная запись становится самой слабой ссылкой, и нет никакого смысла в обеспечении корневой учетной записи больше, чем учетная запись.

OpenBSD предлагает средство защиты, которое ограничивает корневую учетную запись: securelevel. Если Вы устанавливаете securelevel на положительное значение, то определенные действия (включая изменение securelevel, загрузку кода ядра и изменение файлов, отмеченных как неизменные), ограничиваются кодом ядра. Это может использоваться для гарантии целостности части системы, даже если корневая учетная запись поставлена под угрозу; оборотная сторона - то, что консольный доступ требуется в определенных ситуациях, таких как провальный жесткий диск. Посмотрите защиту Файла в Unix и Как гарантировать целостность ОС? для получения дополнительной информации, а также документации.

2
02.04.2014, 01:03
1 ответ

В структуре / etc / fstab файл, вы можете запрашивать проверку файловой системы при каждой загрузке системы - пример: 

/dev/sda1       /       ext4      errors=remount-ro,relatime      0       1
/dev/sda2       swap    swap      defaults        0       0
proc            /proc   proc      defaults        0       0
sysfs           /sys    sysfs     defaults        0       0
devtmpfs        /dev    devtmpfs  rw              0       0

Последний столбец (6-й) указывает, в каком порядке вы хотите проверять файловые системы во время загрузки. . 0 означает отсутствие проверки, 1 - первая проверка, 2 - вторая, ... Файловая система с одинаковым номером прохода проверяется параллельно.

Для информации и полноты:

  • Первый столбец: устройство файловой системы
  • Второй столбец: где смонтировать файловую систему
  • Третий столбец: тип файловой системы
  • Четвертый столбец: параметры, переданные в mount при монтировании файловой системы
  • Пятый столбец: нужно ли включать файловую систему (1) или нет (0) командой dump
  • Шестой столбец: Прохождение автоматической проверки файловой системы при загрузке, 0 означает отсутствие проверки.

Если проверка файловой системы вернет фатальную ошибку во время загрузки, вам будет предложено войти в режим восстановления файловой системы (в основном текстовая консоль однопользовательского режима).

3
27.01.2020, 22:06

Теги

Похожие вопросы