root заблокирован из EC2

Я был в процессе отключения корневых учетных записей на экземпляре AWS EC2. Сразу после установки PermitRootLogin no и перезапуска sshd я случайно закрыл терминал - перед настройкой пользователей с привилегиями sudo. В результате мой ключ для входа в экземпляр как root не работает (sshd запрещает это), и когда я вхожу в экземпляр с использованием моего обычного пользователя, я не могу получить привилегии root (пароль root никогда не устанавливался). Экземпляр работает под управлением Ubuntu 8.10. Кто-нибудь есть идеи, как я могу это исправить?

4 ответа

Нет, не закрывайте экземпляр, не все потеряно!!

  1. загрузите другой экземпляр и завершите работу плохого.
  2. отсоедините том EBS от плохого экземпляра и присоедините его к новому экземпляру.
  3. Смонтируйте его в новом экземпляре (например, что-то вроде sudo mount /dev/xvdf1 /mnt/)
  4. сделайте в нем chroot (sudo chroot /mnt) и введите passwd.
  5. сбросьте пароль или внесите любые другие изменения (например, vi / etc / ssh / sshd_config!)
  6. Нажмите control-D или введите exit, чтобы выйти из chroot.
  7. umount / mnt
  8. отсоедините том EBS от вашего временного экземпляра
  9. повторно присоедините или сделайте снимок и создайте новый AMI на основе этого снимка
  10. Загрузите исправленную коробку обратно!

PS в следующий раз попробуйте Userify для управления ключами ваших пользователей:)

Не найдя уязвимости, единственный способ получить root-доступ на компьютере с Linux - это загрузить однопользовательский режим и сбросить пароль. Однако у вас нет доступа на уровне KVM к экземпляру EC2, поэтому это невозможно.

Вам нужно будет прервать этот экземпляр EC2 и запустить другой. Но отключение рутинных входов против общей парадигмы в EC2. Amazon предлагает вам предоставить открытый ключ во время запуска экземпляра и установить скрипт инициализации в /root/.ssh/authorized_keys, где sshd настроен на "PermitRootLogin без пароля" для принудительного входа только в пары ключей. Таким образом, вы никогда не сможете случайно заблокировать свою учетную запись root (при условии, что вы не потеряете свой закрытый ключ).

В будущем я предлагаю вам создать пользователя с доступом sudo, а затем начать сеанс "экрана" сразу после входа в систему, чтобы отключение не остановило / не прервало вашу работу. После того как вы настроите и установите свое приложение, объедините, загрузите и объедините свой AMI, чтобы при необходимости можно было запускать новые экземпляры.

Есть ли у вас сохраненный AMI с изменениями, которые вы внесли в свой экземпляр до того, как отключили root-вход? Если нет, вам придется вернуться к базовому AMI, с которого вы начали, и создать новый экземпляр EC2.

Один из способов сделать это - найти локальные уязвимости в вашей системе, которые могут предоставить вам корневую оболочку. Получить список программного обеспечения, которое установлено в коробке, и google/securityfocus каждого из них.

Другие вопросы по тегам