Alpine Linux syslinux 启动加固(密码保护)

在 Alpine Linux 中,syslinux 是默认常用的启动引导程序,若不做加固,攻击者可通过按 Tab 键修改启动参数(如添加 singlerw init=/bin/sh)进入单用户模式,直接获取系统根权限。本文将提供 syslinux 密码保护的常规配置步骤,快速完成启动加固,仅限制启动参数修改,不影响正常回车启动系统。

一、前提准备:生成 SHA-512 密码 Hash

Alpine Linux 中需先安装 mkpasswd 工具(包含在 whois 包中),再生成加密密码 Hash(syslinux 不支持明文密码)。

  1. 安装依赖工具:
bash 复制代码
apk add --no-cache whois
  1. 生成 SHA-512 格式密码 Hash:
bash 复制代码
mkpasswd -m sha-512crypt
  1. 执行命令后,按照提示输入你要设置的启动保护密码(输入时无明文回显,输入完成回车即可),终端会输出一串以 $5$ 开头的字符串,这就是密码的 Hash 值,复制保存好该字符串,后续配置会用到。

二、配置 syslinux 密码参数

Alpine Linux 中通过修改 /etc/update-extlinux.conf 文件来配置 syslinux 相关参数,实现密码保护并禁止随意修改启动选项。

  1. 追加配置内容到配置文件(将复制的 Hash 值替换下面的示例 Hash):
bash 复制代码
cat >> /etc/update-extlinux.conf << 'EOF'
# 禁止修改启动选项,加固安全
allowoptions=0
# 配置 syslinux 启动保护密码(替换为你自己生成的 $5$ 开头的 Hash 值)
password='$5$DsTUx0/nhDhkM.8P$5Qsj2/k05zv9e3DFUivSTqC.jD0XT7W4veOEccCqwX9'
EOF

注意:这里使用 'EOF'(单引号包裹),是为了防止系统解析 Hash 值中的特殊字符,确保配置内容完整保留。

三、应用配置变更

配置完成后,需要执行 update-extlinux 命令,将配置同步到 /boot/extlinux.conf(syslinux 实际生效的配置文件)。

bash 复制代码
update-extlinux

该命令无报错即表示应用成功,无需额外重启服务。

四、验证加固效果

  1. 先验证配置是否已同步生效:
bash 复制代码
cat /boot/extlinux.conf

执行后,若终端输出中包含 allowoptions 0 和你配置的 password 对应的 Hash 值,说明配置已同步成功。

  1. 重启系统进行实际测试:
bash 复制代码
reboot
  1. 测试两种场景:
    • 正常场景:系统启动时直接回车,无需输入密码,顺利进入 Alpine Linux 系统,不影响正常使用。
    • 加固场景:系统启动时按 Tab 键,尝试修改启动参数,此时会提示输入密码,只有输入正确的密码才能修改启动选项,有效防止恶意用户通过单用户模式提权。
相关推荐
tntxia12 小时前
linux curl命令详解_curl详解
linux
扛枪的书生14 小时前
Linux 网络管理器用法速查
linux
顺风尿一寸17 小时前
Java Socket 内核之旅:从 SocketChannel.read() 到 tcp_recvmsg 与 epoll 的完整调用链路
linux
XIAOHEZIcode1 天前
Ubuntu 终端美化全栈指南:Bash 到 Kitty 踩坑实录
linux·ubuntu·命令行
唐青枫1 天前
别再只会用 cron:Linux systemd Timer 定时任务实战详解
linux
AlfredZhao3 天前
生产环境里,为什么不建议把普通端口直接暴露到公网?
linux·https·443·80
戴为沐4 天前
Linux内存扩容指南
linux
zylyehuo4 天前
Linux 彻底且安全地删除文件
linux
用户805533698035 天前
主线 U-Boot 上 RK3506:和闭源 rkbin 拔河的三个隐性契约
linux·嵌入式
用户034095297915 天前
linux fcitx 5 雾凇拼音 设置在中文输入法下仍然输入英文标点
linux