GNU/Linux >> Tutoriales Linux >  >> Ubuntu

Arranque seguro en modo de usuario único en Ubuntu y Debian

En hosts Ubuntu y Debian, el modo de usuario único , también conocido como el modo de rescate , se utiliza para realizar operaciones críticas.

El modo de usuario único se puede utilizar para restablecer la contraseña raíz o para realizar comprobaciones de sistemas de archivos y reparaciones si su sistema no puede montarlos.

En este tutorial, veremos cómo puede iniciar en modo de usuario único en hosts Debian y Ubuntu y cómo restablecer la contraseña de root.

También estamos configurando nuestras unidades de destino (rescate y emergencia) para solicitar una contraseña en el arranque en modo de usuario único.

Nota :para arrancar en objetivos de rescate o de emergencia, necesita acceso físico a la máquina para interrumpir el proceso de arranque predeterminado de GRUB.

Objetivos de rescate y emergencia en Debian

En las distribuciones recientes de Debian, systemd es responsable de iniciar su host Linux utilizando un destino predeterminado.

Si desea verificar el objetivo predeterminado ejecutado por systemd, puede ejecutar el siguiente comando

$ systemctl get-default

Como puede ver, mi sistema está configurado para arrancar en un destino gráfico de manera predeterminada.

Como no tengo ningún entorno de escritorio como GNOME o KDE, se iniciará en un shell simple.

Sin embargo, el destino gráfico no es el único destino disponible en Linux, puede arrancar en los siguientes modos:

  • apagado :se usa para cerrar su host y apagar el sistema;
  • rescate :un modo utilizado para iniciar su sistema con un shell de rescate;
  • emergencia :similar al modo de rescate excepto que no se inician servicios ni se montan sistemas de archivos;
  • multiusuario :el modo predeterminado en los sistemas systemd de Linux, que se usa para iniciar su host en un sistema no gráfico (sin un entorno de escritorio);
  • gráfico :incluye el objetivo multiusuario y un entorno gráfico como KDE o GNOME, por ejemplo;
  • reiniciar :apaga el sistema y lo reinicia inmediatamente

Como sus nombres lo reflejan, esos modos se utilizan para realizar operaciones de mantenimiento en un sistema Linux, pero deben realizarse de forma segura para evitar fugas de seguridad.

En este artículo, nos vamos a centrar en el rescate y emergencia modos y ver cómo podemos asegurarnos de ellos.

También veremos cómo se puede usar el arranque en modo de usuario único para cambiar la contraseña de root o para realizar comprobaciones simples de sistemas de archivos.

Configuración de la cuenta raíz en Debian

De manera predeterminada, al ingresar al modo de usuario único, se le otorgará un mensaje de raíz con privilegios completos.

Como consecuencia, para arrancar en modo de usuario único (o modo de rescate), su cuenta raíz debe estar desbloqueada y debe tener una contraseña.

Comprobación del estado de bloqueo de la cuenta raíz

En Ubuntu, las cuentas raíz están deshabilitadas de forma predeterminada como medida de seguridad, y también puede optar por desactivarlo en Debian 10 (si no especifica una contraseña de root al instalar Debian)

Para verificar si su cuenta raíz está bloqueada, ejecute el siguiente comando

$ sudo -s
$ cat /etc/shadow | grep root

Como puede ver, hay un signo de exclamación en el espacio reservado para la contraseña:significa que la raíz está bloqueada.

Configuración de una contraseña de cuenta raíz

Para establecer una contraseña para la cuenta raíz, ejecute el siguiente comando

$ sudo passwd

Si regresa para verificar el contenido de su archivo de sombra, ahora debería ver que el contenido se ha modificado y que no se presenta ningún signo de exclamación.

Impresionante, ahora podemos comenzar a arrancar en modo de usuario único desde la pantalla del cargador de arranque GRUB.

Arrancar en Modo Rescate desde GRUB

Para iniciar en modo de usuario único o modo de rescate, interrumpirá el proceso de inicio predeterminado al iniciar su máquina.

Restablezca su máquina e interrumpa el proceso de inicio presionando una tecla de flecha en el menú GNU GRUB.

Si está ejecutando una distribución basada en Debian, esto es lo que debería ver en su pantalla

Como se describe en el panel de descripción inferior, presione 'e' para editar los comandos de arranque

Ahora debería ver la siguiente ventana en su pantalla

Usando las flechas direccionales, navegue hasta la línea de inicio del kernel de Linux y coloque la siguiente cadena al final de la línea.

systemd.unit=rescue.target

También puede simplemente escribir "1", es equivalente a arrancar en modo de usuario único en Debian.

Como se describe a continuación en la secuencia de comandos de arranque, presione F10 para arrancar en el objetivo de rescate.

Se cargará su kernel de Linux y se cargará su sistema de archivos virtual inicial.

Antes de tener acceso, se le pedirá la contraseña de root que acaba de cambiar antes.

Escriba la contraseña que definió antes y ahora debería tener un shell raíz directamente en su host.

¡Impresionante! Ahora que tiene un shell raíz en el host, puede comenzar cambiando la contraseña raíz o verificando sus sistemas de archivos.

Recomendaciones de seguridad para el modo de usuario único

Cuando se trata del modo de usuario único o del objetivo de rescate, es importante que este modo esté protegido con contraseña en su sistema.

Como puede ver, es el caso predeterminado en Debian 10, pero debe asegurarse de que sea el caso en otras distribuciones.

Si algún intruso tiene acceso físico a su máquina, en un centro de datos, por ejemplo, podría ser tan fácil como reiniciar la máquina, interrumpir el proceso de arranque e iniciar un modo de usuario único no protegido.

A partir de ahí, todos los archivos se pueden eliminar, copiar o transferir a un servidor no seguro.

También se pueden instalar programas maliciosos para rastrear la actividad del host y robar información personal.

Concha de inicio de sesión de Sulogin

Afortunadamente para usted, las distribuciones estándar de Debian están configuradas para solicitar la contraseña de root al arrancar en modo de usuario único.

Se puede ver inspeccionando los servicios de rescate y emergencia en su host (ubicados en /usr/lib/systemd/system )

$ cat /usr/lib/systemd/system/rescue.service

De forma predeterminada, al iniciar, su sistema iniciará el systemd-sulogin-shell en modo de rescate, que está a salvo de accesos no autorizados.

Sin embargo, debe asegurarse de que este archivo no haya sido alterado y que el sistema no reciba instrucciones para iniciar un shell simple (como /bin/sh por ejemplo).

Esto daría como resultado tener un modo de usuario único inseguro, esencialmente teniendo una brecha de seguridad importante si alguien tiene acceso físico a la máquina.

Conclusión

En este tutorial, aprendió sobre el modo de usuario único en las distribuciones basadas en Debian y cómo se relaciona con los objetivos de rescate y emergencia en Linux.

Aprendió que este modo debe estar protegido con contraseña, ya que ofrece un shell raíz para los usuarios que debían iniciar sesión en él.

También vio cómo puede indicarle a GRUB que arranque en este modo y cómo puede usarse para realizar operaciones de mantenimiento en su sistema.

Si tiene curiosidad acerca de la administración del sistema Linux, tenemos una sección completa dedicada a ella en el sitio web.


Ubuntu

  1. Modo de usuario único de Linux

  2. Recupere su sistema con el modo de usuario único en Ubuntu / Ubuntu 11.10

  3. Conviértase en usuario root en Ubuntu 22.04 - ¿Guía paso a paso?

  4. ¿Ubuntu 14.04 no arranca Grub Prompt?

  5. Ubuntu 16.04:¿cómo puedo desactivar el arranque seguro?

Cómo abrir el administrador de archivos de Ubuntu como usuario root

Cómo iniciar en modo de rescate o modo de emergencia en Ubuntu 20.04/18.04

¿No puede iniciar Ubuntu en Acer Aspire Es17?

Cómo iniciar en modo de rescate o modo de emergencia en Ubuntu

Cómo limitar su acceso de usuario raíz en Debian y Ubuntu

CentOS / RHEL 6:cómo iniciar en modo de usuario único