求：如何避免一般用户进入单用户模式

大家好，purge碰到一个问题。

[color=blue:5613bclearcase/" target="_blank" >cc70f]用户环境：[/color:5613bcc70f]局域网，普通pc服务器，使用Redhat Linux 9.0上Samba服务，作为文件服务器。
[color=blue:5613bcc70f]
实践：[/color:5613bcc70f]
1、架好RH9和Samba，并且关闭用不到的服务。然后，将 /etc/rc.d/init.d/smb start 放入 /etc/rc.d/rc.local中；
这样，在系统进入到"Login"状态时已经提供Samba服务。

2、出于安全的考虑，新建立一个无用户密码的用户，sudo此用户关机，把关机命令直接写入该用户根目录下的.bash_profile；使之该用户一旦登录，就自动执行关机。

[color=blue:5613bcc70f]问题：[/color:5613bcc70f]
如何避免一般用户进入单用户模式？


谢谢。

零二年的夏天 回复于：2003-12-21 13:50:27

记得lilo是可以加密码的，grub也可以凭密码而修改。 是这样么？

弱智 回复于：2003-12-21 14:17:07

不是，引导管理器不能有密码的啊，如果有了，那么还是能够进入单用户模式的。

零二年的夏天 回复于：2003-12-21 15:12:30

如果在/etc/inittab中把 system initialization 中 11：1：wait:/etc/rc.d/rc 1 注释掉呢？ [color=red:adcb64e2a3]################ 没听说过，但是是否可以呢？ ################[/color:adcb64e2a3]

Linux@初学者 回复于：2003-12-21 15:16:43

[quote:12bc0cb3d4="弱智"]不是，引导管理器不能有密码的啊，如果有了，那么还是能够进入单用户模式的。[/quote:12bc0cb3d4] 把grub设上密码，不知道密码的人就无法进入系统AND修改grub参数，这应该可以防止他人进入单用户吧。我觉得

好好先生 回复于：2003-12-21 15:20:12

我感觉前两步比较好，但是第一步可以不那样做也能达到要求吧？比如用ntsysv，然后选中smb。 grub可以加两种密码，一是启动时要密码，一是修改时要密码。它的位置分别是title的上面和下面。如果放在上面时，启动时要密码。放在title下面，要进入单用户模式时要编辑grub，这样他如果没有密码是编辑不了的。另外这个密码也可以用md5加密.你试试。

tsgx 回复于：2003-12-21 15:27:38

好好先生的第二种方法很不错。

好好先生 回复于：2003-12-21 15:29:37

放在title上下面是不一样的，可能我记反了放上和放下的区别。你试试。我这会儿没有时间试验。如果要用md5加密，可以这样。用grub-md5-srypt这个命令生成加过密的密码，然后用ctrl+shift+c复制，到grub.conf中用password=--md5 加过密的密码的格式。注意空格。 老大，不知对你有用没有用。:lol:

tsgx 回复于：2003-12-21 15:31:46

放在上面是不让进入系统的。 以前我加密过的。

Linux@初学者 回复于：2003-12-21 16:17:13

如果上下都加，知道上面的密码，进入grub界面，会显示title下面的密码是什么，所以title下面的密码必须用加密的才算安全

弱智 回复于：2003-12-21 16:28:48

谢谢各位兄弟的回复。 purge没有用过Grub的密码。这是一条思路； 另外，purge个人觉得，可能，零二年的夏天的方法可以试试看。

好好先生 回复于：2003-12-21 22:15:08

老大，试验了吗？

零二年的夏天 回复于：2003-12-21 22:16:48

不过，觉得自己的是个馊主意。 ：) 真的可行了，却也是谁也进入不了单用户了。 -------------------------------------------- 老大，有结果么？

弱智 回复于：2003-12-21 22:49:28

哦，服务器不在。 所以试好了再说吧。 谢谢各位兄台出招。

弱智 回复于：2003-12-22 08:57:57

[quote:56222a4f01="零二年的夏天"]不过，觉得自己的是个馊主意。 ：) 真的可行了，却也是谁也进入不了单用户了。 -------------------------------------------- 老大，有结果么？[/quote:56222a4f01] 如果真的有什么麻烦，又忘了root密码，大不了拆硬盘，挂到其他机器上面拷过来。

零二年的夏天 回复于：2003-12-22 09:22:15

呵呵，我也是这么想，就是不知道是否方便拆卸。 可以么？

好好先生 回复于：2003-12-22 17:07:08

我刚才就这个问题做了一下实验。 用grub-md5-crypt生成一个密码。然后在grub.conf中title的下面加上"password=--md5 生成的密码"；保存重起。进入系统要密码。 然后修改grub.conf，把那句话放在title的上面，进入系统不再提示要密码。但在grub界面处按"e"要进入编辑状态时，要密码。如果没有这个密码，普通用户是没有办法进入单用户模式的。（除非你能把硬盘摘下挂到其它机器上）:lol:应该可以满足老大的要求的。

xinyv 回复于：2003-12-22 17:31:20

方法有2 方法1 楼上的版主以经说了. 方法2 修改你的单用户目录,就是修改inittab文件,把目录改成3

零二年的夏天 回复于：2003-12-22 17:34:46

[quote:e4b28910df="xinyv"]方法有2 方法2 修改你的单用户目录,就是修改inittab文件,把目录改成3[/quote:e4b28910df] ？？ :em14:  :em14:

xinyv 回复于：2003-12-22 17:36:47

在inittab文件中把l1:1:wait:/etc/rc.d/rc 1改成l1:1:wait:/etc/rc.d/rc 3

零二年的夏天 回复于：2003-12-22 17:38:07

[quote:7ad541c235="xinyv"]在inittab文件中把l1:1:wait:/etc/rc.d/rc 1改成l1:1:wait:/etc/rc.d/rc 3[/quote:7ad541c235] 呵呵，这不是骗人么？ :lol:

xinyv 回复于：2003-12-22 17:53:53

你去改了在说,我在redhat7.0 7.3 8.0 9.0下调试通过.

q1208c 回复于：2003-12-22 18:07:23

那不是你也进不去了？再说，要是linux -s 怎么办呀？

eagerlinuxer 回复于：2003-12-22 18:21:41

[quote:4bd7e287db="弱智"] 如果真的有什么麻烦，又忘了root密码，大不了拆硬盘，挂到其他机器上面拷过来。[/quote:4bd7e287db] 老兄，RH的启动光盘中不还有个linux  rescue 模式，有张RH安装光盘不还是挡不住，白搭。 不然你就得设个bios密码，然后把启动顺序改成 先用硬盘：） 但这也挡不住啊，bios还能放电啊。 所以说，在linux下，设个启动密码，那是骗人用的。直要能接确到机器，谁都能进去。

零二年的夏天 回复于：2003-12-22 18:29:43

楼上说的有道理。 但是，基础的防范也是必要的。 主机安全之第一步就是物理安全。

eagerlinuxer 回复于：2003-12-22 18:44:14

那也是，在grub下设个密码，把BIOS中的启动顺序和密码设一下，也许还是能挡一下的吧。

弱智 回复于：2003-12-22 19:30:03

[quote:d7f27fa5d6="零二年的夏天"]楼上说的有道理。 但是，基础的防范也是必要的。 主机安全之第一步就是物理安全。[/quote:d7f27fa5d6] 同意，如果有cracker可以进入机房，那么无须什么工具， 只要拉下电闸就达到目的拉~~

好好先生 回复于：2003-12-22 20:19:11

我感觉安全是相对的，没有绝对的安全。

NetDC 回复于：2003-12-24 12:52:54

[quote:c9001c037b="好好先生"]我刚才就这个问题做了一下实验。 用grub-md5-crypt生成一个密码。然后在grub.conf中title的下面加上"password=--md5 生成的密码"；保存重起。进入系统要密码。 然后修改grub.conf，把那句话放在title的上面，进入?.........[/quote:c9001c037b] hoho，好办法，刚才试验了一下，确实好用，不过如果你是多个系统引导的话，一定是放在第一个title的前面。我开始还以为要加密哪个就放那个title的前面呢。。。

牙齿晒太阳 回复于：2004-09-07 12:47:31

汗～～我看的是天花乱坠满头大汗阿～～～ 这个ｔｉｔｌｅ在那？是个什么东东

原文转自：http://www.ltesting.net