Czy kombinacja klawiszy Ctrl-Alt-Delete w systemie Linux * nie jest * naprawdę niebezpieczna?

55

Czy domyślna funkcja Ctrl-Alt-Delete shutdown -rw systemach Linux jest niebezpieczną funkcją?

Wiele lat temu, kiedy wdrażałem systemy fizyczne z dołączonymi klawiaturami i monitorami, czasami modyfikowałem /etc/inittabsystemy Red Hat, aby wyłączyć pułapkę restartu. Zdarza się to zwykle po tym, jak lokalny informatyk lub administrator systemu Windows przypadkowo użył kombinacji klawiszy magicznych na niewłaściwym terminalu / klawiaturze / oknie i zrestartował serwer.

# Trap CTRL-ALT-DELETE
ca::ctrlaltdel:/sbin/shutdown -t3 -r now

Nie robiłem tego od czasów RHEL4, ale nowsze systemy wydają się mieć /etc/init/control-alt-delete.confplik do tego.

Przez te lata większość moich systemów była wdrażana bez użycia głowy lub działa jako maszyny wirtualne. Zmniejszyło to częstotliwość niezamierzonych ponownych uruchomień ... jednak ostatnio otrzymałem zestaw oopses ctrl-alt-delete z:

1). IP KVM podłączony do niewłaściwego serwera przez personel centrum danych.
2). administrator systemu Windows używający kombinacji klawiszy w konsoli VMware, uważając, że jest to konieczne do zalogowania.
3). mnie za pomocą Ctrl-Alt-Delete makro w konsoli HP MOP ponownego uruchomienia live CD ... ale to było rzeczywiście MOP na bardzo ruchliwej serwerze produkcyjnym .

wprowadź opis zdjęcia tutaj

  • Czy ma sens domyślnie wyłączać restart Ctrl-Alt-Delete w systemie Linux?
  • Czy jest to powszechny problem, czy generalnie ignorowane?
  • Czy są jakieś wady?
  • Jak sobie z tym poradzić w swoim środowisku?

Edycja: W rzeczywistości właśnie spotkałem ten serwer , maszynę wirtualną działającą przez 1115 dni, hasło roota nieznane, a narzędzia VMware nie zostały zainstalowane ( więc Ctrl-Alt-Delete byłaby jedyną wdzięczną opcją zamknięcia ).

linux ipmi ilo keyboard-video-mouse key-bindings ewwhite
źródło
7
Nie, ponieważ jeśli nie możesz zrestartować dowolnego komputera w sieci, masz większe problemy. Zobacz, np. Małpa Chaosu.
dmourati,
15
@dmourati To nieprawda. Rzeczywiste systemy biznesowe nie zawsze działają jak aplikacje na skalę internetową . Nieodpowiedzialne jest sugerowanie, że jest to błąd architektoniczny.
ewwhite
8
Nawet gdybyś mógł zrestartować dowolny system, nie chciałbyś. W prawdziwym scenariuszu informatycznym chciałbyś planować ponowne uruchomienie tylko wtedy, gdy jest to konieczne . Oopsies są zawsze złe i należy ich unikać, a to pytanie dotyczy oopsies.
Journeyman Geek
6
@fduff W przypadku systemu produkcyjnego zrestartowałem w ten weekend, spowodowało to około 13 minut przestoju, ponieważ serwer zajmuje dużo czasu na POST, a aplikacja nie działała poprawnie (nie jest kontrolowana przez skrypty inicjujące), co pozwoliło do ~ 45 minut naprawy bazy danych po ponownym uruchomieniu.
ewwhite
6
@JamesRyan Może. Ale nie zawsze. Jeśli użytkownicy / administratorzy Windows są uzależnieni od użycia Ctrl-Alt-Delete w celu wybudzenia ekranu lub uwierzytelnienia, jest to zrozumiały błąd. W sytuacjach ILO / IPMI / KVM tak, można by dokładniej zidentyfikować systemy, ale nie zawsze jest to możliwe ... ( np. Poleganie na zdalnych rękach w centrum danych )
ewwhite

Odpowiedzi:

37

Może to być przydatne w przypadku bardzo, bardzo rzadko dotykanych maszyn. Wiele lat po instalacji, jeśli nikt nie pamięta loginu dla hosta, Ctrl-Alt-Delete wykona prawidłowe zamknięcie, a następnie pozwoli ci użyć GRUB (lub nawet LiLo!) Do dostarczenia rw init=/bin/bashdo jądra, a tym samym da ci szansę na zresetowanie hasło roota .

Powyżej jest również sposób, że Ctrl-Alt-Delete jest niebezpieczny, nawet jeśli fizyczny dostęp do przełączników zasilania / resetowania i kabli zasilających jest uniemożliwiony. Hasło modułu ładującego rozruchu (i hasło systemu BIOS oraz wyłączenie rozruchu z napędu USB / CD-ROM i klawisza menu rozruchu) może temu zapobiec, ale utrudnia prawidłowe odzyskiwanie w trybie awaryjnym.

Alastair Irvine
źródło
3
Masz rację. I nie Wykorzystaliśmy tę możliwość w ten sposób w sytuacji opisanej wy.
ewwhite
Nawet wtedy łatwiej jest załadować „ratunkowy” nośnik, zamontować i wprowadzić skrót znanego hasła. Przez IPMI ładujesz media z pliku ISO, dzięki czemu cały problem „fizycznego dostępu” jest sporny. Lub ładujesz ze specjalnej konfiguracji tftp / pxe, po włączeniu rozruchu z sieci.
Dani_l
Uważam, że to, co wspomniałem o haśle i opcjach BIOS-u, nadal obowiązuje podczas korzystania z IPMI. Z przyjemnością usłyszę, jeśli jest to niepoprawne.
Alastair Irvine
1
Nie zgadzam się co do mediów ratunkowych. Nietrudno zapamiętać wspomniane opcje jądra. Ta metoda wymaga nośnika optycznego (lub pliku ISO w ramach IPMI) i hasła hash, które należy wpisać lub skopiować z pamięci USB. (Jeśli przegłosowałeś, proszę cofnąć.)
Alastair Irvine
1
@AlastairIrvine Nie przegłosowałem, a masz rację co do ipmi - konsola ipmi da ci dostęp do konsoli maszyny podczas całego procesu rozruchu, w tym wprowadzania biografii, więc napotkasz te same problemy. Nie wspominając o tym, że szanujący się sprzęt serwerowy powinien mieć możliwość ułatwienia zmiany parametrów z uruchomionego systemu operacyjnego (np. ASU IBM ibm.com/support/entry/myportal/docdisplay?lndocid=TOOL-ASU ).
Dani_l
7

Jeśli masz ILO / IPMI / ... Ma to absolutny sens. Jedynym powodem, dla którego CTRLALTDEL był magiczną pułapką, gdy nic innego nie przeszkadzało. Z kartą kontrolną tego nie potrzebujesz - i tak możesz zresetować urządzenie. Nie trzeba dodawać, że jeśli maszyna zachowuje się poprawnie, zawsze można „zrestartować” / „zamknąć system -r teraz” / „init 6” / „zrestartować systemctl” z konsoli lub GUI.

Dani_l
źródło
4

Wydaje mi się, że szanse na przypadkowe ponowne uruchomienie za pomocą ctrl-alt-delete są znacznie większe niż szanse na zapomnienie hasła root serwera, dlatego w środowiskach produkcyjnych sensowne jest wyłączenie ctrl-alt-delete. Osobiście robię to na moich systemach produkcyjnych.

Szanse na to, że twardy dysk na działającym hoście z Linuksem spowoduje nieodwracalne uszkodzenie danych, są niewielkie. W setkach razy, gdy robiłem to przez lata, nie mogę sobie przypomnieć ani jednej instancji, w której system nie był w stanie naprawić się (fsck) podczas rozruchu. Dlatego uważam to za prawidłową opcję na hostach, na których hasło roota jest nieznane, co wyklucza dostępność innych metod płynnego zamykania.

Michael Martinez
źródło
1
Jak wyłączyć opcję ctrl-alt-delete na maszynie VM hostowanej na serwerze Esx Server?
kvivek