25

Несколько дней назад мой друг хотел показать мне, что он может использовать мой linux, даже если я не сообщу ему свой пароль.

Зашел в GRUB, выбрал опцию режима восстановления. Моя первая проблема - он уже имел доступ к моим файлам (только для чтения). Он пытался сделать passwd, но потерпел неудачу. Затем он сделал какое-то перемонтирование (я думаю, это дало ему права на запись), и после этого он смог сменить мой пароль.

Почему это возможно? Я лично вижу в этом проблему безопасности. Там, где я работаю, есть несколько человек, которые используют Linux, и ни у кого из них не установлен пароль BIOS или какой-либо другой вид защиты.

4 ответа4

43

Пароли предназначены для предотвращения доступа извне (сеть, интернет), и они обеспечивают его. Тем не менее, физический доступ является корневым доступом.

Если вы не шифруете весь свой раздел, всегда можно загрузиться с оптического диска или флэш-накопителя и получить доступ ко всем вашим файлам. Таким образом, вы также можете изменять файлы, в которых хранятся пароли пользователей.

Однако вы можете отключить режим восстановления, который хотите. шаги:

  1. Откройте /etc/default/grub в текстовом редакторе (с правами root)

  2. Раскомментируйте / добавьте следующую строку:

    GRUB_DISABLE_RECOVERY="true"
    
  3. Сохраните изменения и выполните следующую команду:

    sudo update-grub
    
6

Если кто-то может физически коснуться вашей машины, он может войти.

Самый простой способ - загрузить Linux на USB-накопитель и загрузиться с USB-накопителя. Вуаля, вы можете просматривать родную файловую систему и вносить в нее любые изменения.

3

Всегда можно будет сменить пароль root. Всегда может случиться так, что кто-то забудет об этом. Вам необходим физический доступ к серверу (или консольный доступ при виртуализации), чтобы войти в режим восстановления GRUB, поэтому, когда вы уже там, вы можете взять весь сервер / рабочий стол, а также вынуть жесткий диск и провести некоторые экспертизы на нем. С точки зрения безопасности это не имеет большого значения.

Вы всегда можете зашифровать свой диск, если вы хотите дополнительной безопасности. Это сделает восстановление намного сложнее.

2

Для grub 1 сделайте следующее:

  1. Откройте командную строку и введите как root grub-md5-crypt

  2. Вас просят ввести пароль, и после подтверждения пароля вы увидите хеш-значение, которое вы копируете в буфер обмена.

  3. Откройте выбранный вами редактор и отредактируйте /boot/grub/menu.lst и добавьте в первую строку:

    password --md5 "Hashvalue"
    
  4. Сохраните файл. Hashvalue это тот, который вы получаете из команды grub-md5-sum

Для grub2 есть инструмент, который позволяет вам настроить это проще:http://sourceforge.net/projects/grubpass/ После установки просто введите:

  1. grubpass в оболочку от имени пользователя root. Программа в значительной степени говорит сама за себя.

Однако лучший способ защитить ваши данные от такого доступа - использовать полное шифрование диска.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .