Чому можна змінити пароль користувача адміністратора в Linux?

25

Кілька днів тому мій друг хотів показати мені, що він може використовувати мій Linux, навіть якщо я не скажу йому свій пароль.

Він увійшов до GRUB, вибрав опцію режиму відновлення. Моя перша проблема полягає в тому, що він уже мав доступ до моїх файлів (лише для читання). Він намагався зробити passwd, але не вдався. Потім він зробив якусь переплату (я вважаю, що це дало йому написати права), і після цього він зміг змінити мій пароль.

Чому це можливо? Я особисто вважаю це проблемою безпеки. Там, де я працюю, є кілька людей, які використовують Linux, і жоден з них не має встановленого пароля BIOS або іншої стіни безпеки.

— Іліа Крістіан
джерело

24

Для цього потрібен фізичний доступ до комп'ютера. Реально, якщо ви не використовуєте TrueCrypt або подібне, якщо я маю фізичний доступ до вашого комп'ютера, я, ймовірно, можу отримати ваші дані так чи інакше.

— Zac B

10

Це не характерно для Linux. За допомогою фізичного доступу ви можете зробити те ж саме в Windows, OSX або, мабуть, будь-якій ОС. Однією з причин, яку я бачу таким чином, є те, що адміністратор завжди може забути свій пароль і потрібен спосіб потрапити в систему.

— Лоран

Навіть якщо ви не можете увійти в ОС, встановлену на жорсткому диску, ви можете просто завантажити дистрибутив liveUSB та змонтувати файлові системи та прочитати всі файли. Ви завжди можете зашифрувати свій домашній каталог, хоча у багатьох дистрибутивах є можливість зробити це під час встановлення. Це захистить більшість даних від читання. (хоча це не зупинить її стирання)

— naught101

3

За допомогою викрутки це можна зробити майже для всього, що завгодно ...

— SamB

43

Ці паролі призначені для запобігання доступу ззовні (мережа, Інтернет), і вони його виконують. Однак фізичний доступ - це кореневий доступ.

Якщо ви не шифруєте весь розділ, його завжди можна завантажувати з оптичного диска або флешки та отримувати доступ до всіх своїх файлів. Таким чином, ви також можете змінювати файли, в яких зберігаються паролі користувачів.

Однак ви можете вимкнути потрібний режим відновлення. Кроки:

Відкрити /etc/default/grubв текстовому редакторі (з правами root)
Відмінити коментар / додати рядок наступним рядком:
```
GRUB_DISABLE_RECOVERY="true"
```
Збережіть зміни та запустіть таку команду:
```
sudo update-grub
```

— Денніс
джерело

4

Відключення пароля BIOS займає лише трохи більше часу. Можна скинути, встановивши перемичку Clear CMOS або вийнявши акумулятор CMOS. Також ви все одно можете отримати доступ до жорсткого диска на будь-якому іншому комп’ютерному комп’ютері.

— Денніс

4

Ні. Якщо хтось виймає з комп'ютера незашифрований жорсткий диск і підключає його до свого власного, він може читати і записувати на жорсткий диск. Це насправді не має значення, що ви робите з рештою комп'ютера.

— Денніс

7

Покладіть його в сейф.

— Кріс Нава

13

Якщо привід зашифрований, він все ще зашифрований, навіть якщо диск накопичений. Ви не шифруєте запам'ятовуючий пристрій, щоб запобігти крадіжці пристрою зберігання даних.

— Рамхаунд

2

Навіть якщо ви не показуєте опцію "режим відновлення", ви все одно маєте доступ до grubконсолі. Якщо ви не хочете, щоб сторонній користувач мав доступ до консолі grub, вам слід ввести пароль доgrub

— Carlos Campderrós

6

Якщо хтось може фізично торкнутися вашої машини, він може зайти.

Найпростіший спосіб завантажувати Linux на USB-накопичувач і завантажуватися з USB-накопичувача. Voila, ви можете переглянути рідну файлову систему та вносити будь-які зміни, які вам подобаються.

— HayekSplosives
джерело

3

Завжди можна буде змінити кореневий пароль. Завжди може статися, що хтось забув це. Вам потрібен фізичний доступ до сервера (або консольний доступ при віртуалізації), щоб увійти в режим відновлення GRUB, тож коли ви вже там, ви можете взяти весь сервер / робочий стіл, а також витягнути жорсткий диск і виконати деякі криміналістичні роботи на ньому. Безпечно, це не має великого значення.

Ви завжди можете зашифрувати свій диск, якщо хочете отримати додатковий захист. Це зробить одужання набагато складніше.

— Jeroen
джерело

2

Для крупи 1 зробіть наступне:

Відкрийте командний рядок і введіть як root grub-md5-crypt
Вам запитують пароль, і після підтвердження пароля ви побачите гаважне значення, яке ви копіюєте у буфер обміну
Відкрийте редактор за вибором та відредагуйте /boot/grub/menu.lstта додайте до першого рядка:
```
password --md5 "Hashvalue"
```
Захистіть файл. Значення хеш - це те, що ви отримуєте з команди grub-md5-sum

Для grub2 є інструмент, який дозволяє налаштувати цю більш просту http://sourceforge.net/projects/grubpass/ Після установки просто введіть:

grubpassв оболонку як користувач root. Програма в значній мірі сама роз’яснювальна.

Однак найкращий спосіб захистити свої дані від такого доступу - це використання повного дискового шифрування.

— l1zard
джерело