Kilka dni temu mój przyjaciel chciał mi pokazać, że może korzystać z mojego systemu Linux, nawet jeśli nie podam mu hasła.
Wszedł do GRUB-a, wybrał opcję trybu odzyskiwania. Moim pierwszym problemem jest to, że miał już dostęp do moich plików (tylko do odczytu). Próbował zrobić passwd, ale mu się nie udało. Potem wykonał jakiś ponowny montaż (myślę, że to dało mu prawa zapisu), a potem mógł zmienić moje hasło.
Dlaczego to jest możliwe? Osobiście uważam to za problem bezpieczeństwa. Tam, gdzie pracuję, jest kilka osób, które używają Linuksa i żadna z nich nie ma ustawionego hasła BIOS ani innego rodzaju zabezpieczenia.
Odpowiedzi:
Hasła mają uniemożliwiać dostęp z zewnątrz (sieć, Internet) i osiągają to. Jednak fizyczny dostęp to dostęp do konta root.
O ile nie szyfrujesz całej partycji, zawsze można uruchomić komputer z dysku optycznego lub dysku flash i uzyskać dostęp do wszystkich plików. W ten sposób możesz również modyfikować pliki przechowujące hasła użytkowników.
Możesz jednak wyłączyć tryb odzyskiwania, który chcesz. Kroki:
Otwórz
/etc/default/grub
w edytorze tekstu (z uprawnieniami roota)Odkomentuj / dodaj wiersz następujący wiersz:
Zapisz zmiany i uruchom następujące polecenie:
źródło
grub
konsoli. Jeśli nie chcesz, aby ktoś z zewnątrz miał dostęp do konsoli grub, powinieneśgrub
Jeśli ktoś może fizycznie dotknąć twojej maszyny, może wejść.
Najprostszym sposobem, załaduj Linux na dysk USB i uruchom z pamięci USB. Voila, możesz przeglądać natywny system plików i dokonywać dowolnych zmian.
źródło
Zawsze będzie można zmienić hasło roota. Zawsze może się zdarzyć, że ktoś o tym zapomni. Potrzebujesz fizycznego dostępu do serwera (lub dostępu do konsoli po zwirtualizowaniu), aby wejść w tryb odzyskiwania GRUB, więc kiedy już tam jesteś, możesz wziąć cały serwer / pulpit, aby wyciągnąć dysk twardy i wykonać na nim pewne analizy sądowe. Z punktu widzenia bezpieczeństwa nie ma to większego znaczenia.
Zawsze możesz zaszyfrować dysk, jeśli chcesz uzyskać dodatkowe zabezpieczenia. To znacznie utrudni powrót do zdrowia.
źródło
W przypadku grub 1 wykonaj następujące czynności:
Otwórz wiersz poleceń i wprowadź jako root grub-md5-crypt
Zostaniesz poproszony o hasło, a po potwierdzeniu hasła zobaczysz wartość skrótu, którą skopiujesz do schowka
Otwórz wybrany edytor, edytuj
/boot/grub/menu.lst
i dodaj do pierwszego wiersza:Bezpieczny plik. Wartość skrótu to ta, którą otrzymujesz z polecenia grub-md5-sum
W przypadku Grub2 dostępne jest narzędzie, które pozwala skonfigurować to łatwiej http://sourceforge.net/projects/grubpass/ Po instalacji wystarczy wpisać:
grubpass
do powłoki jako użytkownik root. Program jest dość oczywisty.Jednak najlepszym sposobem ochrony danych przed tego rodzaju dostępem jest użycie pełnego szyfrowania dysku.
źródło