最近我机器的身份验证系统坏了两次:一次是因为我搞乱了 PAM/LDAP,另一次是因为我搞乱了/etc/passwd或/etc/shadow。
为了恢复东西,我必须从实时系统启动,但我发现这很烦人(启动时间更长,在实时系统上我有不同的内核,不同的安装工具等等)。
由于这些天我对 PAM/LDAP 很感兴趣(...),这种情况很可能会再次发生。因此,我考虑永久放置/sbin/sulogin -p,tty1而不是/sbin/agetty, through /etc/inittab,以便即使出现问题也能够登录。至少在某些情况下。
这样做安全吗,或者有副作用吗?
我需要指定其他人可以物理登录到这台机器上。
答案1
我不明白以这种方式运行 sulogin 对您有什么帮助。 sulogin 通常在您启动到单用户模式时运行,因此,如果它在那里不起作用(因为影子密码文件已无可救药地损坏),那么如果您在多用户模式下运行它,它也不会起作用。如果 sulogin 在单用户模式下工作,则无需在多用户模式下运行它。
在鲁莽实验期间让系统恢复工作状态的一个更好的解决方案是将身份验证文件(passwd、shadow、pwdb.conf 等)的已知功能副本保存在某处,并编写一个脚本来复制这些保存的文件文件放入其官方位置。编辑 /etc/inittab 并设置 ctrlaltdelete 操作来运行该脚本。稍后,如果您搞砸了系统上的身份验证文件,请按 CTRL-ALT-DELETE,这些文件将恢复到您保存的版本。