怎样禁止阿里云服务器通过控制台重置 root 密码?

2020-04-30 15:20:45 +08:00
 baobao1270

如图,我想要这个“设置密码”功能不起作用,实现不能通过控制台重置 root 密码。

7790 次点击
所在节点    云计算
28 条回复
nightwitch
2020-04-30 15:32:24 +08:00
这个估计做不到,不过你可以直接禁止 root 用户登陆,修改 root 的 shell 为 nologin 禁止本地登陆,禁止 root ssh 登陆,禁止 su 和 sudo su 切换到 root 。

BTW:
你想禁止重置密码的原因是什么,我闻到了一丝 x-y problem 的味道
https://coolshell.cn/articles/10804.html
lookas2001
2020-04-30 15:35:27 +08:00
设置一下 luks 落盘加密?
wangyzj
2020-04-30 15:35:29 +08:00
wangyzj
2020-04-30 15:36:40 +08:00
# passwd -d root
你试试把
我觉得够呛
lookas2001
2020-04-30 15:44:39 +08:00
如果你因为不信任云厂商而想将云厂商修改服务器密码的能力去掉,这不现实,云厂商有着直接读取磁盘的能力,即使设置了全盘加密,而执法机构要求云厂商配合将服务器解密,云厂商还是可以 dump 内存的。可信计算可以解决这个问题的,除此之外,还可以将自己的服务器托管到一个你信任的环境(云以及执法)下。:)
如果你担心账户被攻破殃及账户下的服务器,攻击者除了用 root 登录,还可以直接进入恢复环境,或者直接把云盘卸下来挂载到其他服务器上。
henvm
2020-04-30 15:51:42 +08:00
@lookas2001 想问下,加密磁盘之后,对以后的运行数据读写效率上有没有影响?
lookas2001
2020-04-30 16:04:56 +08:00
@henvm 肯定是有的,而且可能不小,具体多少看情况。
yezhiqiucn
2020-04-30 16:14:10 +08:00
干掉系统内部 aliyun-service aegis_update aegis_client
stillyu
2020-04-30 16:29:53 +08:00
@yezhiqiucn 那自己上传个 ISO 文件安装的系统,是不是没有这个服务?
pmispig
2020-04-30 16:37:31 +08:00
把阿里云的 agent 全部干掉就可以了
ohao
2020-04-30 16:44:09 +08:00
@stillyu
@pmispig
你们都没重置过密码嘛?

重设置 ROOT 密码的逻辑和你什么系统无关的, Linux 系统基本都通用
他是直接维护盘引导启动, 然后挂载你的 VPS 文件系统分区,在修改的

独立服务器也支持自动修改密码 就是标准的自动化 IPMI / DHCP / PXE 启动维护盘
自动修改密码, 很多都支持了已经
rrfeng
2020-04-30 16:46:40 +08:00
然后写个脚本,每次启动后重置 root 密码。它不管怎么改,密码还是存在系统里的……

然后你脚本挂了写了一堆乱码进去,哈哈哈哈
pmispig
2020-04-30 16:53:06 +08:00
@ohao 原来用的这个姿势啊,牛逼牛逼,楼主可以把 root 用户干掉换个其他的名字,他应该是根据用户名修改的吧
Greatshu
2020-04-30 17:00:36 +08:00
netboot 装个新系统
Whsiqi
2020-04-30 17:05:01 +08:00
换 windows
mm2x
2020-04-30 17:07:02 +08:00
https://www.jiloc.com/44541.html

这种一键 DD 更换系统可以试一下 换成你喜欢的系统 这样阿里云就彻底管理不到你了
xabc
2020-04-30 17:13:33 +08:00
/etc/securetty 这个文件全部注释即刻
tadtung
2020-04-30 17:18:41 +08:00
@yezhiqiucn 实际上自己 dd 干净系统最好,阿里云盾等阿里内置服务会扫你文件
baobao1270
2020-04-30 17:57:34 +08:00
统一回复一下,安装 Ubuntu 的时候用 Encrypted LVM 格式化整个系统即可,或者为 /etc 分一个 luks 加密分区。

@nightwitch
@wangyzj
不是禁止 root 登录,也不是禁止 root ssh,我已经禁止了 root 直接登录,只允许 sudo 。

@lookas2001
这是唯一靠谱的。亲测可用

@wangyzj
这个只能清空一次 root 密码。我要实现的是

@tadtung
@yezhiqiucn
@pmispig
@Greatshu
@mm2x
没用。我直接重装干净的系统的,但是这个功能不依赖于安骑士什么的实现,估计是直接改文件系统,所以没用。我之前发过关于 netboot 重装系统的帖子了……

@ohao
似乎是这样的……全盘加密后就无法重置密码了。

@rrfeng
这个方法有点 dirty ……

@lookas2001
说的在理,作为个人没有必要担心 dump 内存这种事情……
一开始是的确是担心账户被攻破殃及账户下的服务器,后来想想禁用了这个也没啥用,还不如开 F2A 验证。
不过研究一下也挺有趣的。
abcbuzhiming
2020-04-30 18:00:30 +08:00
麻烦楼主搞清楚一件事情,云计算厂商拥有服务器的所有权,它仅仅是租用计算资源给你,服务器所有权并不是你的,请务必认真的阅读以下云计算机厂商向你提供服务的授权协议。在租给你计算资源的同时,云厂商有监控计算资源不被滥用的权力,能从控制台重置密码是这种权力的一部分,你如果真的通过某种方式,让控制台重置密码功能失灵,云厂商是可以以以你入侵控制计算机系统的罪名收回你的服务器并且起诉你的,建议不要用这种会给自己惹来麻烦的行为,既然这么反感这个东西,不用云服务器就好

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/667642

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX