Ist Ctrl-Alt-Delete unter Linux nicht wirklich gefährlich?

55

Ist die Standard-Ctrl-Alt-Delete- shutdown -rFunktion auf Linux-Systemen eine gefährliche Funktion?

Vor Jahren, als ich physische Systeme mit angeschlossenen Tastaturen und Monitoren /etc/inittabbereitstellte, änderte ich manchmal die Red Hat-Systeme, um die Neustartfalle zu deaktivieren. Dies geschah normalerweise, nachdem eine lokale IT-Person oder ein Windows-Administrator versehentlich die magische Tastenkombination auf dem falschen Terminal / der falschen Tastatur / dem falschen Fenster verwendet und den Server neu gestartet hatte.

# Trap CTRL-ALT-DELETE
ca::ctrlaltdel:/sbin/shutdown -t3 -r now

Ich habe dies seit den RHEL4-Tagen nicht mehr getan, aber neuere Systeme scheinen eine /etc/init/control-alt-delete.confDatei dafür zu haben.

In den letzten Jahren wurden die meisten meiner Systeme kopflos bereitgestellt oder als virtuelle Maschinen ausgeführt. Dies hat die Häufigkeit von unbeabsichtigten Neustarts verringert ... ich hatte jedoch kürzlich eine Reihe von Ctrl-Alt-Delete- Oops von:

1). Ein IP-KVM, der vom Personal des Rechenzentrums an den falschen Server angeschlossen wurde.
2). Ein Windows-Administrator, der die Tastenkombination in einer VMware-Konsole verwendet und glaubt, dass sie für die Anmeldung benötigt wird.
3). Ich verwende das Makro ctrl-alt-delete in einer HP ILO-Konsole, um eine Live-CD neu zu starten. Es war jedoch die ILO für einen sehr ausgelasteten Produktionsserver .

Bildbeschreibung hier eingeben


  • Ist es sinnvoll, den Neustart von Strg-Alt-Entf in Linux standardmäßig zu deaktivieren?
  • Ist das ein häufiges Anliegen oder wird es im Allgemeinen ignoriert?
  • Gibt es Nachteile?
  • Wie gehen Sie in Ihrer Umgebung damit um?

Bearbeiten: Ich bin gerade auf diesen Server gestoßen , eine virtuelle Maschine, die 1.115 Tage läuft, deren Root-Passwort unbekannt ist, und VMware-Tools wurden nicht installiert ( daher wäre Strg-Alt-Entf die einzig sinnvolle Option zum Herunterfahren ).

ewwhite
quelle
7
Nein, denn wenn Sie einen beliebigen Computer in Ihrem Netzwerk nicht neu starten können, treten größere Probleme auf. Siehe zB den Chaos Monkey.
Dmourati
15
@ Dmourati Das ist falsch. Reale Branchen-Systeme funktionieren nicht immer wie Web-Scale-Anwendungen . Es ist unverantwortlich zu behaupten, dass dies ein architektonisches Versagen ist.
Ewwhite
8
Selbst wenn Sie könnten ein beliebiges System neu zu starten, würden Sie nicht wollen. In einem realen IT-Szenario möchten Sie nur dann einen geplanten Neustart durchführen, wenn dies erforderlich ist . Oopsies sind immer schlecht und sollten vermieden werden, und diese Frage dreht sich alles um die Oopsies.
Geselle Geek
6
@fduff Beim Produktionssystem, das ich an diesem Wochenende neu gestartet habe, kam es zu etwa 13 Minuten Ausfallzeit, da der Server viel Zeit für den POST benötigt und die Anwendung nicht ordnungsgemäß heruntergefahren wurde (dies wird nicht über Init-Skripte gesteuert) auf ~ 45 Minuten Datenbankreparatur nach dem Neustart.
Ewwhite
6
@ James Ryan Vielleicht. Aber nicht immer. Wenn Windows-Benutzer / -Administratoren daran gewöhnt sind, einen Bildschirm mit Strg-Alt-Entf zu aktivieren oder sich zu authentifizieren, ist dies ein verständlicher Fehler. In den ILO / IPMI / KVM-Situationen könnte zwar mehr Sorgfalt auf die Identifizierung von Systemen verwendet werden, dies ist jedoch nicht immer möglich ... ( z. B.
wenn Sie

Antworten:

37

Dies kann bei sehr, sehr selten berührten Maschinen hilfreich sein. Wenn sich noch Jahre nach der Installation niemand an eine Anmeldung für den Host erinnern kann, wird Strg-Alt-Entf ordnungsgemäß heruntergefahren, und Sie können GRUB (oder sogar LiLo!) Verwenden, um rw init=/bin/bashden Kernel zu versorgen und so die Möglichkeit zum Zurücksetzen zu erhalten das root-Passwort .

Dies ist auch eine Möglichkeit, mit der Strg-Alt-Entf gefährlich wird, selbst wenn der physische Zugriff auf die Netz- / Rücksetzschalter und Netzkabel verhindert wird. Ein Bootloader-Kennwort (und ein BIOS-Kennwort sowie das Deaktivieren des USB- / CD-ROM-Starts und des Startmenü-Schlüssels) können dies verhindern, erschweren jedoch eine legitime Notfallwiederherstellung.

Alastair Irvine
quelle
3
Du hast recht. Ich habe diese Funktion in der von Ihnen beschriebenen Situation auf diese Weise verwendet.
Ewwhite
Selbst dann ist es einfacher, ein "Rettungs" -Datenträger zu laden, einzuhängen und den Hash eines bekannten Kennworts einzugeben. Über IPMI laden Sie die Medien aus einer ISO-Datei, wodurch das gesamte Problem des "physischen Zugriffs" zur Diskussion steht. Oder Sie laden von einer speziellen Konfiguration tftp / pxe, nachdem Sie das Booten vom Netz aus aktiviert haben.
Dani_l
Ich glaube, dass das, was ich über das BIOS-Passwort und die BIOS-Optionen erwähnt habe, bei Verwendung von IPMI weiterhin gilt. Ich würde mich freuen zu hören, wenn das nicht stimmt.
Alastair Irvine
1
Über Rettungsmedien bin ich nicht einverstanden. Es ist nicht schwer, sich an die Kerneloptionen zu erinnern, die ich erwähnt habe. Für Ihre Methode sind optische Medien (oder eine ISO-Datei unter IPMI) und ein Kennwort-Hash erforderlich, der eingegeben oder vom USB-Speicher kopiert werden muss. (Wenn Sie abgelehnt haben, bitte rückgängig machen.)
Alastair Irvine
1
@AlastairIrvine Ich habe nicht abgelehnt, und Sie haben Recht mit ipmi - eine ipmi-Konsole ermöglicht Ihnen den Zugriff auf die Computerkonsole während des gesamten Startvorgangs, einschließlich der Eingabe des BIOS, sodass Sie auf dieselben Probleme stoßen. Ganz zu schweigen davon, dass der selbstsichernde Server HW die Möglichkeit haben sollte, Parameteränderungen vom laufenden Betriebssystem aus zu vereinfachen (z. B. IBMs ASU ibm.com/support/entry/myportal/docdisplay?lndocid=TOOL-ASU ).
Dani_l
7

Wenn Sie ILO / IPMI / ... haben, ist dies absolut sinnvoll. Der einzige Grund für CTRLALTDEL war eine magische Falle, in der nichts anderes stören würde. Mit einer Steuerkarte brauchen Sie das nicht - Sie können die Maschine trotzdem zurücksetzen. Es erübrigt sich zu erwähnen, dass Sie, wenn sich der Computer korrekt verhält, jederzeit über die Konsole oder die GUI einen Neustart durchführen können.

Dani_l
quelle
4

Ich bin der Meinung, dass die Wahrscheinlichkeit eines versehentlichen Neustarts über STRG-ALT-LÖSCHEN viel größer ist als die Wahrscheinlichkeit, dass das Root-Passwort eines Servers vergessen wird. In Produktionsumgebungen ist es daher sinnvoll, STRG-ALT-LÖSCHEN zu deaktivieren. Ich persönlich mache das auf meinen Produktionssystemen.

Die Wahrscheinlichkeit, dass ein hartes Powercycle auf einem laufenden Linux-Host zu einer nicht behebbaren Datenbeschädigung führt, ist gering. In den Jahrhunderten, in denen ich dies getan habe, kann ich mich nicht an eine einzelne Instanz erinnern, bei der das System sich beim Booten nicht selbst reparieren konnte (fsck). Daher halte ich dies für eine gültige Option auf Hosts, auf denen das Root-Passwort unbekannt ist, und schließe die Verfügbarkeit anderer Methoden für ein ordnungsgemäßes Herunterfahren aus.

Michael Martinez
quelle
1
Wie deaktivieren Sie die Option Strg-Alt-Löschen auf dem VM-Computer, der auf dem Esx-Server gehostet wird?
Kvivek