Мне было показано, что система FreeBSD может быть легко доступна в однопользовательском режиме без пароля root. Использование команды passwd позволит любому, у кого нет физического доступа к системе, изменить пароль для пользователя root. Есть ли способ предотвратить это? До того, как я узнал об этом, мне сказали, что системы BSD безопасны, но теперь я не уверен.
6
4 ответа
10
Вам просто нужно отредактировать /etc/ttys чтобы запросить пароль в однопользовательском режиме, хотя имейте в виду, что любой, кто имеет физический доступ к машине, может получить ваши данные различными способами.
вы найдете строку, похожую на эту, с разделителями табуляции в /etc/ttys:
console none unknown off secure
измените защищенную часть на небезопасную (очень запутанно, я знаю), чтобы строка выглядела так:
console none unknown off insecure
после перезагрузки и входа в однопользовательский режим вам будет предложено ввести пароль для доступа к приглашению оболочки.
Это то , что ребята FreeBSD должны сказать об использовании слова небезопасного в / и /etc/ttys
Примечание. Небезопасная консоль означает, что вы считаете свою физическую безопасность на консоли небезопасной и хотите убедиться, что только тот, кто знает пароль root, может использовать однопользовательский режим, и это не означает, что вы хотите запустить консоль. небезопасным. Таким образом, если вы хотите безопасность, выберите небезопасный, а не безопасный.
5
Любая физически доступная система может быть небезопасной. Даже если ваша установленная ОС защищена, теоретически кто-то может использовать живой диск для редактирования настроек безопасности, сброса паролей или просто получения данных.
Я полагаю, вы должны отключить загрузку с USB и CD и заблокировать биос, чтобы быть полностью безопасным. И даже тогда кто-то всегда может извлечь HDD.
Я надеюсь, что я не делаю тебя слишком параноиком;)
2
echo 'password=SuperPasswordHere' >> /boot/loader.conf.local
Это заставит запросить пароль перед переходом в однопользовательский режим
PS Обратите внимание на FreeBSD-9, если вы используете это. Кто-то немного сломал это, но отчет об ошибках и исправление уже сообщалось в GNAT. Смотрите здесь, PR:170110
как вернуть эту функциональность во FreeBSD-9, которая работает десятилетиями.
Без этого исправления компьютер перестанет загружаться и будет ждать пароль
1
Повысить физическую безопасность.