单用户模式
单模式下和正常启动的系统差别不大以root身份运行,拥有最高权限可以对所有文件读写,只是不需要输入root密码,所以就可以实现强制更改密码。主要用在配置错误导致系统启动不了,或者root命令忘记时。单用户模式下是没有网络连接的。
OpenEuler破解 root账户密码
1,更改启动项,进入grub菜单 按'e'进行修改
2,找到'linux'开头的行,在"512M"末尾添加"init=/bin/bash"编辑完后,'ctrl x'完成重启
3,挂载 / 分区赋予读写权限:mount -o remount,rw / ,passwd 修改用户密码(注意密码安全策略要求)
ro改为rw表示启动单用户模式时,将根目录挂载为可读写,否则在进入单用户模式之后还需要运行命令mount -o remount,rw /才能对系统里的文件更改。(两者选其一)
4,重启系统
代码语言:javascript复制/usr/sbin/reboot -f 或者 exec /sbin/init5,如果selinux 为开启状态需要创建.autorelabel文件
当系统selinux运行时,需要在根目录创建一个.autorelabel文件,该文件重启时系统就会重新标记selinux的文件系统。使能配置生效。
touch /.autorelabel |
|---|
GRUB 加固、优化
GRUB是GRand UnifiedBootloader的缩写,它是一个操作系统启动管理器,用来引导系统,grub2是grub的升级版。系统启动时,可以通过grub2界面修改系统的启动参数;
设置 grub2 加密口令
为了确保系统的启动参数不被任意修改,需要对grub2界面进行加密;仅在输入正确的grub2口令的情况下才能修改启动参数。
使用grub2-mkpasswd-pbkdf2命令生成加密的口令,grub2加密算法使用sha512。
代码语言:javascript复制用户:root
密码:openeuler12!@
向/etc/grub.d/00_header文件末尾追加如下内容
vim /etc/grub.d/00_headercat <<EOFset superusers="root"password_pbkdf2 root grub.pbkdf2.sha512.10000.71254F48799691DC3E5D04C470AEE07396B93E25A371BE3A99917BCC7A114AB5FD2AF2338DBB4C6BC5A5FE20EA39B7C4A4757ADDAD259285ADFE054D3F8BB277.069F2BC5ABF951110C2EC49AD07FA7148045555B7CF373F1151A28F64894FFAC64856D454ED9E082A4520EF1FF072BC83070A61E56DD9FD6E1696C8DCC22C2FCEOF |
|---|
- superusers字段用于设置grub2的超级管理员的账户名。
- password_pbkdf2字段后的参数,第1个参数为grub2的账户名,第2个为该账户的口令加密密文。
执行grub2-mkconfig命令使上述修改生效
grub2-mkconfig -o /boot/grub2/grub.cfg |
|---|
Legacy模式:grub2-mkconfig -o /boot/grub2/grub.cfg
UEFI模式:grub2-mkconfig -o /boot/efi/EFI/openEuler/grub.cfg
配置 grub 开机等待时间
修改/etc/default/grub文件中的GRUB_TIMEOUT=5 参数(默认5s)
运行grub2-mkconfig -o /boot/grub2/grub.cfg命令重新编译生成grub文件
重启验证是否正确
grub 文件介绍
系统下grub有三个文件路径
/boot/grub2/grub.cfg
/etc/default/grub
/etc/grub2.cfg
/etc/grub2.cfg 是/boot/grub2/grub.cfg 文件的符号链接
查看内核启动执行参数
代码语言:javascript复制cat /proc/cmdline查看默认引导内核的配置信息
代码语言:javascript复制grubby --info=DEFAULT
