怎样禁止阿里云服务器通过控制台重置 root 密码？

• 資深大佬 : nightwitch

  这个估计做不到，不过你可以直接禁止 root 用户登陆，修改 root 的 shell 为 nologin 禁止本地登陆,禁止 root ssh 登陆，禁止 su 和 sudo su 切换到 root 。

  BTW:
  你想禁止重置密码的原因是什么，我闻到了一丝 x-y problem 的味道
  https://coolshell.cn/articles/10804.html

• 資深大佬 : lookas2001

  设置一下 luks 落盘加密？

• 資深大佬 : wangyzj

  https://www.a2hosting.com/kb/getting-started-guide/accessing-your-account/disabling-ssh-logins-for-root

• 資深大佬 : wangyzj

  # passwd -d root
  你试试把
  我觉得够呛

• 資深大佬 : lookas2001

  如果你因为不信任云厂商而想将云厂商修改服务器密码的能力去掉，这不现实，云厂商有着直接读取磁盘的能力，即使设置了全盘加密，而执法机构要求云厂商配合将服务器解密，云厂商还是可以 dump 内存的。可信计算可以解决这个问题的，除此之外，还可以将自己的服务器托管到一个你信任的环境（云以及执法）下。：）
  如果你担心账户被攻破殃及账户下的服务器，攻击者除了用 root 登录，还可以直接进入恢复环境，或者直接把云盘卸下来挂载到其他服务器上。

• 資深大佬 : henvm

  @lookas2001 想问下，加密磁盘之后，对以后的运行数据读写效率上有没有影响？

• 資深大佬 : lookas2001

  @henvm 肯定是有的，而且可能不小，具体多少看情况。

• 資深大佬 : yezhiqiucn

  干掉系统内部 aliyun-service aegis_update aegis_client

• 資深大佬 : stillyu

  @yezhiqiucn 那自己上传个 ISO 文件安装的系统，是不是没有这个服务？

• 資深大佬 : pmispig

  把阿里云的 agent 全部干掉就可以了

• 資深大佬 : ohao

  @stillyu
  @pmispig
  你们都没重置过密码嘛?

  重设置 ROOT 密码的逻辑和你什么系统无关的, Linux 系统基本都通用
  他是直接维护盘引导启动, 然后挂载你的 VPS 文件系统分区,在修改的

  独立服务器也支持自动修改密码 就是标准的自动化 IPMI / DHCP / PXE 启动维护盘
  自动修改密码, 很多都支持了已经

• 資深大佬 : rrfeng

  然后写个脚本，每次启动后重置 root 密码。它不管怎么改，密码还是存在系统里的……

  然后你脚本挂了写了一堆乱码进去，哈哈哈哈

• 資深大佬 : pmispig

  @ohao 原来用的这个姿势啊，牛逼牛逼，主可以把 root 用户干掉换个其他的名字，他应该是根据用户名修改的吧

• 資深大佬 : Greatshu

  netboot 装个新系统

• 資深大佬 : Whsiqi

  换 windows
• 資深大佬 : mm2x

  https://www.jiloc.com/44541.html

  这种一键 DD 更换系统可以试一下 换成你喜欢的系统 这样阿里云就彻底管理不到你了

• 資深大佬 : xabc

  /etc/securetty 这个文件全部注释即刻

• 資深大佬 : tadtung

  @yezhiqiucn 实际上自己 dd 干净系统最好，阿里云盾等阿里内置服务会扫你文件

• 主 資深大佬 : baobao1270

  统一回复一下，安装 Ubuntu 的时候用 Encrypted LVM 格式化整个系统即可，或者为 /etc 分一个 luks 加密分区。

  @nightwitch
  @wangyzj
  不是禁止 root 登录，也不是禁止 root ssh，我已经禁止了 root 直接登录，只允许 sudo 。

  @lookas2001
  这是唯一靠谱的。亲测可用

  @wangyzj
  这个只能清空一次 root 密码。我要实现的是

  @tadtung
  @yezhiqiucn
  @pmispig
  @Greatshu
  @mm2x
  没用。我直接重装干净的系统的，但是这个功能不依赖于安骑士什么的实现，估计是直接改文件系统，所以没用。我之前发过关于 netboot 重装系统的帖子了……

  @ohao
  似乎是这样的……全盘加密后就无法重置密码了。

  @rrfeng
  这个方法有点 dirty ……

  @lookas2001
  说的在理，作为个人没有必要担心 dump 内存这种事情……
  一开始是的确是担心账户被攻破殃及账户下的服务器，后来想想禁用了这个也没啥用，还不如开 F2A 验证。
  不过研究一下也挺有趣的。

• 資深大佬 : abcbuzhiming

  麻烦主搞清楚一件事情，云计算厂商拥有服务器的所有权，它仅仅是租用计算资源给你，服务器所有权并不是你的，请务必认真的阅读以下云计算机厂商向你提供服务的授权协议。在租给你计算资源的同时，云厂商有监控计算资源不被滥用的权力，能从控制台重置密码是这种权力的一部分，你如果真的通过某种方式，让控制台重置密码功能失灵，云厂商是可以以以你入侵控制计算机系统的罪名收回你的服务器并且起诉你的，建议不要用这种会给自己惹来麻烦的行为，既然这么反感这个东西，不用云服务器就好

• 資深大佬 : chinanala

  实测使用 dd 纯净安装系统后干掉阿里云监控进程就无法通过控制台重置密码了

• 資深大佬 : zqfxch

  上有点过了，一般不会到这么严重。
  不过主当你密码丢失的时候重置不了的时候就不要找售后了

• 資深大佬 : wdlth

  LUKS 自动挂载也是可以 DUMP 出来的
  https://blog.appsecco.com/breaking-full-disk-encryption-from-a-memory-dump-5a868c4fc81e

• 資深大佬 : james122333

  云服务有好有坏阿 还有以为放个 jar 档就没事的
  这行业很占优势的

• 資深大佬 : james122333

  做正事有做正事的好

• 資深大佬 : opengps

  为什么要做这个操作？

  失去了后台密码管理能力，麻烦的是你自己，密码忘记，或者被恶意脚本篡改之类的情况，你不依赖主机内部插件就只能选择重装系统了

  如果你担心的是云厂商碰你数据，那么这个操作丝毫不起作用，虚拟机后台可以轻松多副本，选规范化运维的大厂相对可靠，不仅仅是规定不能碰用户数据，流程上也会禁用相关权限。

  真如果你服务器上运行了某些违规严重的东西，那么任何一家厂商，都需要对某单位提供支持，我做阿里云业务时候听说过一些，阿里云有专门的法务部对接一些案子

• 資深大佬 : lc7029

  你的机器在云上，宿主机都是云厂商的，能读写你的磁盘，不让云做这些事情是实现不了的。

• 資深大佬 : inwar

  试一下把 cloud-init 卸载了,没有验证过,不过改密应该是依赖这个,卸载后磁盘扩容这些云镜像功能也会失效