6

Мне было показано, что система FreeBSD может быть легко доступна в однопользовательском режиме без пароля root. Использование команды passwd позволит любому, у кого нет физического доступа к системе, изменить пароль для пользователя root. Есть ли способ предотвратить это? До того, как я узнал об этом, мне сказали, что системы BSD безопасны, но теперь я не уверен.

4 ответа4

10

Вам просто нужно отредактировать /etc/ttys чтобы запросить пароль в однопользовательском режиме, хотя имейте в виду, что любой, кто имеет физический доступ к машине, может получить ваши данные различными способами.

вы найдете строку, похожую на эту, с разделителями табуляции в /etc/ttys:

console none   unknown off secure

измените защищенную часть на небезопасную (очень запутанно, я знаю), чтобы строка выглядела так:

console none   unknown off insecure

после перезагрузки и входа в однопользовательский режим вам будет предложено ввести пароль для доступа к приглашению оболочки.

Это то , что ребята FreeBSD должны сказать об использовании слова небезопасного в / и /etc/ttys

Примечание. Небезопасная консоль означает, что вы считаете свою физическую безопасность на консоли небезопасной и хотите убедиться, что только тот, кто знает пароль root, может использовать однопользовательский режим, и это не означает, что вы хотите запустить консоль. небезопасным. Таким образом, если вы хотите безопасность, выберите небезопасный, а не безопасный.

5

Любая физически доступная система может быть небезопасной. Даже если ваша установленная ОС защищена, теоретически кто-то может использовать живой диск для редактирования настроек безопасности, сброса паролей или просто получения данных.

Я полагаю, вы должны отключить загрузку с USB и CD и заблокировать биос, чтобы быть полностью безопасным. И даже тогда кто-то всегда может извлечь HDD.

Я надеюсь, что я не делаю тебя слишком параноиком;)

2
echo 'password=SuperPasswordHere' >> /boot/loader.conf.local

Это заставит запросить пароль перед переходом в однопользовательский режим

PS Обратите внимание на FreeBSD-9, если вы используете это. Кто-то немного сломал это, но отчет об ошибках и исправление уже сообщалось в GNAT. Смотрите здесь, PR:170110

как вернуть эту функциональность во FreeBSD-9, которая работает десятилетиями.

Без этого исправления компьютер перестанет загружаться и будет ждать пароль

1

Повысить физическую безопасность.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .