Início / unix / Perguntas / 552576
Accepted
larsks
Asked: 2019-11-17 13:35:00 +0800 CST

Permitir login root sem senha no console serial

  • 772

Eu faço muito trabalho de desenvolvimento local com máquinas virtuais (CentOS/RHEL). Em vez de configurar tudo com uma senha de root padrão - que, se exposta à rede, pode ser problemática - gostaria de configurá-los para permitir o login de root sem senha apenas no console serial.

Minha primeira tentativa foi simplesmente substituir o ExecStartcomando padrão por [email protected]uma linha de comando usando a --autologinopção:

ExecStart=-/sbin/agetty -o '-p -- \\u' --keep-baud 115200,38400,9600 --noclear --autologin root ttyS0 $TERM

Enquanto isso ignora o login:prompt, ele ainda solicita uma senha de root. Esta parece ser uma limitação do loginprograma no Linux.

Eu também tentei substituir o programa de login padrão por um shell, assim:

ExecStart=-/sbin/agetty -o '-p -- \\u' --keep-baud 115200,38400,9600 --noclear -n -l /bin/bash ttyS0 $TERM

Mas isso entra em conflito com o selinux: enquanto recebo um bashshell, ele não tem acesso a nada:

bash: /root/.bashrc: Permission denied
# ls /etc/systemd
ls: cannot open directory '/etc/systemd': Permission denied

Em outros lugares na rede, as pessoas sugeriram apenas remover o hash de senha de /etc/{password,shadow}, mas é claro que isso resulta em um conjunto diferente de problemas: agora qualquer usuário pode su -sem uma senha.

Alguma ideia de como fazer isso funcionar corretamente?

centos

1 respostas

  1. Best Answer

    Depois de algumas experiências, eu tenho algo que funciona:

    1. Execute systemctl edit [email protected]e adicione o seguinte:

      [Service]
ExecStart=
ExecStart=-/sbin/agetty -o '-p -- \\u' --keep-baud 115200,38400,9600 --noclear --autologin root ttyS0 $TERM

      Isso fará com agettyque o usuário faça o login automático root, mas apenas com essa alteração o sistema ainda solicitará a senha do root.

    2. Podemos configurar /etc/pam.d/loginpara autenticar rootlogins no console sem senha. Adicione o seguinte ao topo de /etc/pam.d/login:

      auth sufficient pam_listfile.so item=tty sense=allow file=/etc/securetty onerr=fail apply=root

      Isso fará com que a pilha do PAM verifique o login tty in /etc/securettye ignore outros mecanismos de autenticação se encontrá-lo.

    3. Adicione a porta serial a /etc/securetty:

      # echo ttyS0 > /etc/securetty

    Com essas alterações em vigor, você verá o seguinte no console serial ao inicializar:

    CentOS Linux 8 (Core)
Kernel 4.18.0-80.11.2.el8_0.x86_64 on an x86_64

localhost login: root (automatic login)

Last login: Sun Nov 17 00:29:36 on ttyS0
[root@localhost ~]#

    ...e se você sair, você terminará de volta no prompt do shell.

    Observe que usei o nome do arquivo /etc/securettyaqui, que antigamente fazia outra coisa (controlava terminais nos quais rootera permitido fazer login). Então, se isso te incomoda, use um arquivo diferente :).

    • 11

relate perguntas