V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
baobao1270
V2EX  ›  云计算

怎样禁止阿里云服务器通过控制台重置 root 密码?

  •  
  •   baobao1270 · 2020-04-30 15:20:45 +08:00 · 7827 次点击
    这是一个创建于 1702 天前的主题,其中的信息可能已经有所发展或是发生改变。

    图

    如图,我想要这个“设置密码”功能不起作用,实现不能通过控制台重置 root 密码。

    第 1 条附言  ·  2020-04-30 18:03:55 +08:00

    刚刚拿了台不用的阿里轻量云服务器试了一下,安装 Ubuntu 系统时选择 set up encrypted LVM 或者手动分区创建一个加密分区挂载到 /etc ,就无法通过控制台重置密码了。其实不一定要 LVM,启用 LUKS 即可。

    28 条回复    2020-05-01 15:11:07 +08:00
    nightwitch
        1
    nightwitch  
       2020-04-30 15:32:24 +08:00   ❤️ 3
    这个估计做不到,不过你可以直接禁止 root 用户登陆,修改 root 的 shell 为 nologin 禁止本地登陆,禁止 root ssh 登陆,禁止 su 和 sudo su 切换到 root 。

    BTW:
    你想禁止重置密码的原因是什么,我闻到了一丝 x-y problem 的味道
    https://coolshell.cn/articles/10804.html
    lookas2001
        2
    lookas2001  
       2020-04-30 15:35:27 +08:00 via Android
    设置一下 luks 落盘加密?
    wangyzj
        4
    wangyzj  
       2020-04-30 15:36:40 +08:00
    # passwd -d root
    你试试把
    我觉得够呛
    lookas2001
        5
    lookas2001  
       2020-04-30 15:44:39 +08:00 via Android   ❤️ 2
    如果你因为不信任云厂商而想将云厂商修改服务器密码的能力去掉,这不现实,云厂商有着直接读取磁盘的能力,即使设置了全盘加密,而执法机构要求云厂商配合将服务器解密,云厂商还是可以 dump 内存的。可信计算可以解决这个问题的,除此之外,还可以将自己的服务器托管到一个你信任的环境(云以及执法)下。:)
    如果你担心账户被攻破殃及账户下的服务器,攻击者除了用 root 登录,还可以直接进入恢复环境,或者直接把云盘卸下来挂载到其他服务器上。
    henvm
        6
    henvm  
       2020-04-30 15:51:42 +08:00
    @lookas2001 想问下,加密磁盘之后,对以后的运行数据读写效率上有没有影响?
    lookas2001
        7
    lookas2001  
       2020-04-30 16:04:56 +08:00 via Android
    @henvm 肯定是有的,而且可能不小,具体多少看情况。
    yezhiqiucn
        8
    yezhiqiucn  
       2020-04-30 16:14:10 +08:00   ❤️ 1
    干掉系统内部 aliyun-service aegis_update aegis_client
    stillyu
        9
    stillyu  
       2020-04-30 16:29:53 +08:00
    @yezhiqiucn 那自己上传个 ISO 文件安装的系统,是不是没有这个服务?
    pmispig
        10
    pmispig  
       2020-04-30 16:37:31 +08:00
    把阿里云的 agent 全部干掉就可以了
    ohao
        11
    ohao  
       2020-04-30 16:44:09 +08:00
    @stillyu
    @pmispig
    你们都没重置过密码嘛?

    重设置 ROOT 密码的逻辑和你什么系统无关的, Linux 系统基本都通用
    他是直接维护盘引导启动, 然后挂载你的 VPS 文件系统分区,在修改的

    独立服务器也支持自动修改密码 就是标准的自动化 IPMI / DHCP / PXE 启动维护盘
    自动修改密码, 很多都支持了已经
    rrfeng
        12
    rrfeng  
       2020-04-30 16:46:40 +08:00
    然后写个脚本,每次启动后重置 root 密码。它不管怎么改,密码还是存在系统里的……

    然后你脚本挂了写了一堆乱码进去,哈哈哈哈
    pmispig
        13
    pmispig  
       2020-04-30 16:53:06 +08:00
    @ohao 原来用的这个姿势啊,牛逼牛逼,楼主可以把 root 用户干掉换个其他的名字,他应该是根据用户名修改的吧
    Greatshu
        14
    Greatshu  
       2020-04-30 17:00:36 +08:00
    netboot 装个新系统
    Whsiqi
        15
    Whsiqi  
       2020-04-30 17:05:01 +08:00 via Android
    换 windows
    mm2x
        16
    mm2x  
       2020-04-30 17:07:02 +08:00
    https://www.jiloc.com/44541.html

    这种一键 DD 更换系统可以试一下 换成你喜欢的系统 这样阿里云就彻底管理不到你了
    xabc
        17
    xabc  
       2020-04-30 17:13:33 +08:00
    /etc/securetty 这个文件全部注释即刻
    tadtung
        18
    tadtung  
       2020-04-30 17:18:41 +08:00 via Android
    @yezhiqiucn 实际上自己 dd 干净系统最好,阿里云盾等阿里内置服务会扫你文件
    baobao1270
        19
    baobao1270  
    OP
       2020-04-30 17:57:34 +08:00
    统一回复一下,安装 Ubuntu 的时候用 Encrypted LVM 格式化整个系统即可,或者为 /etc 分一个 luks 加密分区。

    @nightwitch
    @wangyzj
    不是禁止 root 登录,也不是禁止 root ssh,我已经禁止了 root 直接登录,只允许 sudo 。

    @lookas2001
    这是唯一靠谱的。亲测可用

    @wangyzj
    这个只能清空一次 root 密码。我要实现的是

    @tadtung
    @yezhiqiucn
    @pmispig
    @Greatshu
    @mm2x
    没用。我直接重装干净的系统的,但是这个功能不依赖于安骑士什么的实现,估计是直接改文件系统,所以没用。我之前发过关于 netboot 重装系统的帖子了……

    @ohao
    似乎是这样的……全盘加密后就无法重置密码了。

    @rrfeng
    这个方法有点 dirty ……

    @lookas2001
    说的在理,作为个人没有必要担心 dump 内存这种事情……
    一开始是的确是担心账户被攻破殃及账户下的服务器,后来想想禁用了这个也没啥用,还不如开 F2A 验证。
    不过研究一下也挺有趣的。
    abcbuzhiming
        20
    abcbuzhiming  
       2020-04-30 18:00:30 +08:00
    麻烦楼主搞清楚一件事情,云计算厂商拥有服务器的所有权,它仅仅是租用计算资源给你,服务器所有权并不是你的,请务必认真的阅读以下云计算机厂商向你提供服务的授权协议。在租给你计算资源的同时,云厂商有监控计算资源不被滥用的权力,能从控制台重置密码是这种权力的一部分,你如果真的通过某种方式,让控制台重置密码功能失灵,云厂商是可以以以你入侵控制计算机系统的罪名收回你的服务器并且起诉你的,建议不要用这种会给自己惹来麻烦的行为,既然这么反感这个东西,不用云服务器就好
    chinanala
        21
    chinanala  
       2020-04-30 18:47:04 +08:00
    实测使用 dd 纯净安装系统后干掉阿里云监控进程就无法通过控制台重置密码了
    zqfxch
        22
    zqfxch  
       2020-04-30 18:47:37 +08:00   ❤️ 1
    楼上有点过了,一般不会到这么严重。
    不过楼主当你密码丢失的时候重置不了的时候就不要找售后了
    wdlth
        23
    wdlth  
       2020-04-30 22:19:48 +08:00
    james122333
        24
    james122333  
       2020-05-01 02:59:25 +08:00
    云服务有好有坏阿 还有以为放个 jar 档就没事的
    这行业很占优势的
    james122333
        25
    james122333  
       2020-05-01 03:09:07 +08:00
    做正事有做正事的好
    opengps
        26
    opengps  
       2020-05-01 07:55:58 +08:00 via Android
    为什么要做这个操作?

    失去了后台密码管理能力,麻烦的是你自己,密码忘记,或者被恶意脚本篡改之类的情况,你不依赖主机内部插件就只能选择重装系统了

    如果你担心的是云厂商碰你数据,那么这个操作丝毫不起作用,虚拟机后台可以轻松多副本,选规范化运维的大厂相对可靠,不仅仅是规定不能碰用户数据,流程上也会禁用相关权限。

    真如果你服务器上运行了某些违规严重的东西,那么任何一家厂商,都需要对某单位提供支持,我做阿里云业务时候听说过一些,阿里云有专门的法务部对接一些案子
    lc7029
        27
    lc7029  
       2020-05-01 12:47:26 +08:00
    你的机器在云上,宿主机都是云厂商的,能读写你的磁盘,不让云做这些事情是实现不了的。
    inwar
        28
    inwar  
       2020-05-01 15:11:07 +08:00 via Android
    试一下把 cloud-init 卸载了,没有验证过,不过改密应该是依赖这个,卸载后磁盘扩容这些云镜像功能也会失效
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2815 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 03:41 · PVG 11:41 · LAX 19:41 · JFK 22:41
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.