在 Alpine Linux 中,syslinux 是默认常用的启动引导程序,若不做加固,攻击者可通过按 Tab 键修改启动参数(如添加 single、rw init=/bin/sh)进入单用户模式,直接获取系统根权限。本文将提供 syslinux 密码保护的常规配置步骤,快速完成启动加固,仅限制启动参数修改,不影响正常回车启动系统。
一、前提准备:生成 SHA-512 密码 Hash
Alpine Linux 中需先安装 mkpasswd 工具(包含在 whois 包中),再生成加密密码 Hash(syslinux 不支持明文密码)。
- 安装依赖工具:
bash
apk add --no-cache whois- 生成 SHA-512 格式密码 Hash:
bash
mkpasswd -m sha-512crypt- 执行命令后,按照提示输入你要设置的启动保护密码(输入时无明文回显,输入完成回车即可),终端会输出一串以
$5$开头的字符串,这就是密码的 Hash 值,复制保存好该字符串,后续配置会用到。
二、配置 syslinux 密码参数
Alpine Linux 中通过修改 /etc/update-extlinux.conf 文件来配置 syslinux 相关参数,实现密码保护并禁止随意修改启动选项。
- 追加配置内容到配置文件(将复制的 Hash 值替换下面的示例 Hash):
bash
cat >> /etc/update-extlinux.conf << 'EOF'
# 禁止修改启动选项,加固安全
allowoptions=0
# 配置 syslinux 启动保护密码(替换为你自己生成的 $5$ 开头的 Hash 值)
password='$5$DsTUx0/nhDhkM.8P$5Qsj2/k05zv9e3DFUivSTqC.jD0XT7W4veOEccCqwX9'
EOF注意:这里使用
'EOF'(单引号包裹),是为了防止系统解析 Hash 值中的特殊字符,确保配置内容完整保留。
三、应用配置变更
配置完成后,需要执行 update-extlinux 命令,将配置同步到 /boot/extlinux.conf(syslinux 实际生效的配置文件)。
bash
update-extlinux该命令无报错即表示应用成功,无需额外重启服务。
四、验证加固效果
- 先验证配置是否已同步生效:
bash
cat /boot/extlinux.conf执行后,若终端输出中包含 allowoptions 0 和你配置的 password 对应的 Hash 值,说明配置已同步成功。
- 重启系统进行实际测试:
bash
reboot- 测试两种场景:
- 正常场景:系统启动时直接回车,无需输入密码,顺利进入 Alpine Linux 系统,不影响正常使用。
- 加固场景:系统启动时按
Tab键,尝试修改启动参数,此时会提示输入密码,只有输入正确的密码才能修改启动选项,有效防止恶意用户通过单用户模式提权。
