如图,我想要这个“设置密码”功能不起作用,实现不能通过控制台重置 root 密码。
This topic created in 2203 days ago, the information mentioned may be changed or developed.
Supplement 1 Apr 30, 2020
刚刚拿了台不用的阿里轻量云服务器试了一下,安装 Ubuntu 系统时选择 set up encrypted LVM 或者手动分区创建一个加密分区挂载到 /etc ,就无法通过控制台重置密码了。其实不一定要 LVM,启用 LUKS 即可。
 | 1 nightwitch Apr 30, 2020  3 这个估计做不到,不过你可以直接禁止 root 用户登陆,修改 root 的 shell 为 nologin 禁止本地登陆,禁止 root ssh 登陆,禁止 su 和 sudo su 切换到 root 。 BTW: 你想禁止重置密码的原因是什么,我闻到了一丝 x-y problem 的味道 https://coolshell.cn/articles/10804.html |
 | 2 lookas2001 Apr 30, 2020 via Android 设置一下 luks 落盘加密? |
 | 3 wangyzj Apr 30, 2020 |
| 4 wangyzj Apr 30, 2020 # passwd -d root 你试试把 我觉得够呛 |
| 5 lookas2001 Apr 30, 2020 via Android 2 如果你因为不信任云厂商而想将云厂商修改服务器密码的能力去掉,这不现实,云厂商有着直接读取磁盘的能力,即使设置了全盘加密,而执法机构要求云厂商配合将服务器解密,云厂商还是可以 dump 内存的。可信计算可以解决这个问题的,除此之外,还可以将自己的服务器托管到一个你信任的环境(云以及执法)下。:) 如果你担心账户被攻破殃及账户下的服务器,攻击者除了用 root 登录,还可以直接进入恢复环境,或者直接把云盘卸下来挂载到其他服务器上。 |
 | 6 henvm Apr 30, 2020 @lookas2001 想问下,加密磁盘之后,对以后的运行数据读写效率上有没有影响? |
| 7 lookas2001 Apr 30, 2020 via Android @henvm 肯定是有的,而且可能不小,具体多少看情况。 |
 | 8 yezhiqiucn Apr 30, 2020 1 干掉系统内部 aliyun-service aegis_update aegis_client |
 | 9 stillyu Apr 30, 2020 @yezhiqiucn 那自己上传个 ISO 文件安装的系统,是不是没有这个服务? |
 | 10 pmispig Apr 30, 2020 把阿里云的 agent 全部干掉就可以了 |
 | 11 ohao Apr 30, 2020 |
 | 12 rrfeng Apr 30, 2020 然后写个脚本,每次启动后重置 root 密码。它不管怎么改,密码还是存在系统里的…… 然后你脚本挂了写了一堆乱码进去,哈哈哈哈 |
 | 14 Greatshu Apr 30, 2020 netboot 装个新系统 |
 | 15 Whsiqi Apr 30, 2020 via Android 换 windows |
 | 16 mm2x Apr 30, 2020 |
 | 17 xabc Apr 30, 2020 /etc/securetty 这个文件全部注释即刻 |
 | 18 tadtung Apr 30, 2020 via Android @yezhiqiucn 实际上自己 dd 干净系统最好,阿里云盾等阿里内置服务会扫你文件 |
 | 19 baobao1270 OP 统一回复一下,安装 Ubuntu 的时候用 Encrypted LVM 格式化整个系统即可,或者为 /etc 分一个 luks 加密分区。 @nightwitch @wangyzj 不是禁止 root 登录,也不是禁止 root ssh,我已经禁止了 root 直接登录,只允许 sudo 。 @lookas2001 这是唯一靠谱的。亲测可用 @wangyzj 这个只能清空一次 root 密码。我要实现的是 @tadtung @yezhiqiucn @pmispig @Greatshu @mm2x 没用。我直接重装干净的系统的,但是这个功能不依赖于安骑士什么的实现,估计是直接改文件系统,所以没用。我之前发过关于 netboot 重装系统的帖子了…… @ohao 似乎是这样的……全盘加密后就无法重置密码了。 @rrfeng 这个方法有点 dirty …… @lookas2001 说的在理,作为个人没有必要担心 dump 内存这种事情…… 一开始是的确是担心账户被攻破殃及账户下的服务器,后来想想禁用了这个也没啥用,还不如开 F2A 验证。 不过研究一下也挺有趣的。 |
 | 20 abcbuzhiming Apr 30, 2020 麻烦楼主搞清楚一件事情,云计算厂商拥有服务器的所有权,它仅仅是租用计算资源给你,服务器所有权并不是你的,请务必认真的阅读以下云计算机厂商向你提供服务的授权协议。在租给你计算资源的同时,云厂商有监控计算资源不被滥用的权力,能从控制台重置密码是这种权力的一部分,你如果真的通过某种方式,让控制台重置密码功能失灵,云厂商是可以以以你入侵控制计算机系统的罪名收回你的服务器并且起诉你的,建议不要用这种会给自己惹来麻烦的行为,既然这么反感这个东西,不用云服务器就好 |
 | 21 aihttp Apr 30, 2020 实测使用 dd 纯净安装系统后干掉阿里云监控进程就无法通过控制台重置密码了 |
 | 22 zqfxch Apr 30, 2020 1 楼上有点过了,一般不会到这么严重。 不过楼主当你密码丢失的时候重置不了的时候就不要找售后了 |
 | 23 wdlth Apr 30, 2020 LUKS 自动挂载也是可以 DUMP 出来的 https://blog.appsecco.com/breaking-full-disk-encryption-from-a-memory-dump-5a868c4fc81e |
 | 24 james122333 May 1, 2020 云服务有好有坏阿 还有以为放个 jar 档就没事的 这行业很占优势的 |
Select Language