Ctrl-Alt-Canc su Linux * non è davvero * pericoloso?

55

La funzionalità Ctrl-Alt-Canc predefinita shutdown -rsui sistemi Linux è una funzione pericolosa?

Anni fa, quando distribuivo sistemi fisici con tastiere e monitor collegati, a volte modificavo i /etc/inittabsistemi su Red Hat per disabilitare il trap di riavvio. Questo di solito si verificava dopo che una persona IT locale o un amministratore di Windows utilizzavano accidentalmente la combinazione di tasti magici sul terminale / tastiera / finestra errati e riavviavano il server.

# Trap CTRL-ALT-DELETE
ca::ctrlaltdel:/sbin/shutdown -t3 -r now

Non lo faccio più dai tempi di RHEL4, ma i sistemi più recenti sembrano avere un /etc/init/control-alt-delete.conffile per questo.

Negli anni successivi, la maggior parte dei miei sistemi sono stati implementati senza testa o funzionano come macchine virtuali. Ciò ha ridotto la frequenza di riavvii non intenzionali ... tuttavia, ho avuto una serie recente di oops ctrl-alt-delete da:

1). un IP KVM collegato al server sbagliato dal personale del datacenter.
2). un amministratore di Windows che utilizza la combinazione di tasti in una console VMware, ritenendo che fosse necessario per l'accesso.
3). me usando la macro ctrl-alt-delete in una console HP OIL per riavviare un CD live ... ma in realtà l'ILO per un server di produzione molto occupato .

inserisci qui la descrizione dell'immagine

  • Ha senso disabilitare il riavvio Ctrl-Alt-Canc in Linux per impostazione predefinita?
  • È una preoccupazione comune o generalmente ignorata?
  • Ci sono degli svantaggi nel farlo?
  • Come gestisci questo nel tuo ambiente?

Modifica: In effetti, ho appena incontrato questo server , una macchina virtuale in esecuzione per 1.115 giorni, la password di root sconosciuta e gli strumenti VMware non sono stati installati ( quindi Ctrl-Alt-Canc sarebbe l'unica opzione di spegnimento aggraziato ).

linux  ipmi  ilo  keyboard-video-mouse  key-bindings 
ewwhite
fonte
7
No, perché se non riesci a riavviare un computer arbitrario nella tua rete hai problemi più grandi. Vedi, ad esempio, la Scimmia del caos.
dmourati,
15
@dmourati Non è vero. I sistemi line-of-business del mondo reale non funzionano sempre come applicazioni su scala web . È irresponsabile suggerire che si tratti di un fallimento architettonico.
ewwhite,
8
Anche se potessi riavviare un sistema arbitrario, non vorrai. In uno scenario IT del mondo reale, avresti solo pianificato i riavvii quando necessario . Le oopsie sono sempre cattive e dovrebbero essere evitate, e questa domanda riguarda tutte le oopsie.
Journeyman Geek,
6
@fduff Nel caso del sistema di produzione che ho riavviato questo fine settimana, ciò ha causato circa 13 minuti di downtime perché il server impiega molto tempo a POST, inoltre l'applicazione non è andata giù in modo pulito (non è controllata tramite script di init), che ha permesso a ~ 45 minuti di riparazione del database dopo il riavvio.
ewwhite,
6
@JamesRyan Forse. Ma non sempre. Se gli utenti / amministratori di Windows sono condizionati a utilizzare Ctrl-Alt-Canc per riattivare uno schermo o autenticarsi, è un errore comprensibile. Nelle situazioni ILO / IPMI / KVM, sì, potrebbe essere prestata maggiore attenzione all'identificazione dei sistemi, ma ciò non è sempre possibile ... ( ad es
Affidarsi

Risposte:

37

Questo può essere utile per macchine molto, molto raramente toccate. Anni dopo l'installazione, se nessuno riesce a ricordare un login per l'host, Ctrl-Alt-Delete farà lo spegnimento corretto e quindi ti permetterà di usare GRUB (o persino LiLo!) Per fornire rw init=/bin/bashal kernel e quindi darti la possibilità di resettare la password di root .

Quanto sopra è anche un modo in cui Ctrl-Alt-Canc è pericoloso anche se viene impedito l'accesso fisico agli interruttori di accensione / ripristino e ai cavi di alimentazione. Una password del caricatore di avvio (e la password del BIOS più la disabilitazione dell'avvio USB / CD-ROM e la chiave del menu di avvio) possono impedire ciò, ma rendono più difficile il legittimo ripristino di emergenza.

Alastair Irvine
fonte
3
Hai ragione. Io ho usato questa funzione in questo modo nella situazione che hai descritto.
ewwhite,
Anche in questo caso è più semplice caricare un supporto di "ripristino", montare e inserire l'hash di una password nota. Su IPMI si carica il file multimediale da un file ISO, rendendo mootante l'intero problema di "accesso fisico". Oppure si carica da una configurazione speciale tftp / pxe, dopo aver abilitato l'avvio da rete.
Dani_l
Credo che ciò che ho detto sulla password e le opzioni del BIOS sia ancora valido quando si utilizza IPMI. Sarei felice di sapere se non è corretto.
Alastair Irvine,
1
Non sono d'accordo sui mezzi di salvataggio. Non è difficile ricordare le opzioni del kernel che ho citato. Il metodo richiede supporti ottici (o un file ISO in IPMI) e un hash della password, che deve essere digitato o copiato dall'archivio USB. (Se hai effettuato il downgrade, annulla.)
Alastair Irvine,
1
@AlastairIrvine Non ho effettuato il downgrade e hai ragione su ipmi: una console ipmi ti darà accesso alla console della macchina durante l'intero processo di avvio, incluso l'inserimento del BIOS in modo da affrontare gli stessi problemi. Per non parlare del fatto che il server HW che si rispetti dovrebbe avere la capacità di facilitare la modifica dei parametri dal sistema operativo in esecuzione (ad es. ASU IBM ibm.com/support/entry/myportal/docdisplay?lndocid=TOOL-ASU ).
Dani_l
7

Se hai ILO / IPMI / ... Ha assolutamente senso. L'unica ragione per CTRLALTDEL era una trappola magica in cui nient'altro avrebbe potuto interrompere. Con una scheda di controllo non è necessario: è comunque possibile ripristinare la macchina. Inutile dire che, se la macchina si comporta correttamente, è sempre possibile 'riavviare' / 'shutdown -r now' / 'init 6' / 'systemctl reboot' dalla console o dalla GUI.

Dani_l
fonte
4

Sento che le possibilità di riavvio accidentale tramite ctrl-alt-delete sono molto maggiori delle possibilità di dimenticare la password di root di un server, e quindi negli ambienti di produzione ha senso disabilitare ctrl-alt-delete. Lo faccio personalmente sui miei sistemi di produzione.

Le possibilità di un hard powercycle su un host Linux in esecuzione che causano un danneggiamento irreversibile dei dati sono limitate. Nelle centinaia di volte che l'ho fatto nel corso degli anni, non riesco a ricordare una singola istanza in cui il sistema non è stato in grado di risolversi automaticamente (fsck) all'avvio. Quindi considero questa un'opzione valida sugli host in cui la password di root è sconosciuta, a parte la disponibilità di altri metodi per l'arresto regolare.

Michael Martinez
fonte
1
Come si disabilita l'opzione ctrl-alt-delete nella macchina virtuale ospitata su Esx Server?
kvivek,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.