Как защитить Linux от смены пароля root с помощью Grub или LiveCD?

[dmon47]

Уважаемые профессионалы! Прошу вас дать совет как можно защитить Linux от смены пароля root с помощью Grub или LiveCD.

[eddy]

От liveCD можно защититься только шифрованием ФС.

[akdengi]

Уважаемые профессионалы! Прошу вас дать совет как можно защитить Linux от смены пароля root с помощью Grub или LiveCD.

Как учат на любом предмете по безопасности, единственный способ защитить машину - перекрыть к ней физический доступ. Иначе ее всегда можно взломать.
P.S. Поиск например дает вот такое: http://ss.lg.ua/node/165

[Brainsburn]

Уважаемые профессионалы! Прошу вас дать совет как можно защитить Linux от смены пароля root с помощью Grub или LiveCD.

Как учат на любом предмете по безопасности, единственный способ защитить машину - перекрыть к ней физический доступ. Иначе ее всегда можно взломать.
P.S. Поиск например дает вот такое: http://ss.lg.ua/node/165

Ну почему-же? Зашифровать можно так, что никто не будет знать, что именно расшифровывать. Например, я где-то читал, сделать ложный выбор ОС при загрузке - чтобы загрузить свою ОС, надо будет нажать определенную комбинацию клавиш, а если просто выбрать ОС из менюшки Grub-a, то пойдет форматирование диска на фоне ложной загрузки. Но это уж совершенно для маньяков

[eddy]

Я, кстати, уже задавал подобный вопрос.

К сожалению, для защиты (без шифрования разделов) от загрузки с live-CD есть только один вариант: устанавливать пароль BIOS на включение компьютера и запирать корпус компьютера на замок (а еще лучше - держать его в сейфе ).

[Denjs]

.... клавиатуру .... клавиатуру с мышкой.. наружу выведите...

[Ali1]

BIOS замените на заказную . С паролем по usb-ключу.

держать его в сейфе

.... клавиатуру .... клавиатуру с мышкой.. наружу выведите...

[Rootlexx]

i	Уведомление от модератора Rootlexx
	Совершенно непонятно, причём здесь «Mandriva». Тема перемещается в «Прочие тематические беседы».

[sash-kan]

самого элементарного никто и не подсказал.
достаточно /bin/login пропатчить.

[NekoExMachina]

достаточно /bin/login пропатчить.

копируем чистый /bin/login с livecd, chroot'имся, меняем пароль.
Если не секрет - как пропатчить, кстати?

[nadge]

sash-kan
+1.

В случае если хозяин компа отлучился на пару минут - самое оно. Злоумышленник будет долго тупить, в чем дело. Правда это не спасет от установки руткита или выполнения каких-либо иных действий при помощи Live-CD или init=/bin/bash, но это уже выходит за рамки данной темы.

[Portnov]

Если есть физический доступ к системнику, пароль в биосе практически не имеет смысла - легко сбрасывается, да и большинство производителей имеют целую кучу 'встроенных' паролей, которые подходят всегда.

[sirocco]

... большинство производителей имеют целую кучу 'встроенных' паролей, которые подходят всегда.

Пробовали?

Во времена 486 точно работало. В БИОС-е хранился простенький инженерный хэш, к которому подходила эта самая "куча паролей".

На более современной плате мне проделать такое не удалось. Гуглить немного умею, но если подскажете урл, буду рад.

[eddy]

В БИОС-е хранился простенький инженерный хэш, к которому подходила эта самая "куча паролей".

Да даже если ваш БИОС и не имеет фирменного backdoor'а, все равно пользоваться паролем на включение компьютера не очень удобно. А запретить на уровне БИОСа загрузку с внешних носителей на современных компьютерах, к сожалению, нельзя: при загрузке можно нажать "волшебную" F10 (или другую клавишу) и из появившегося меню выбрать, с чего грузиться.

[sash-kan]

Если не секрет - как пропатчить, кстати?

взять исходники, исправить, скомпилировать, скопировать полученный бинарник в /bin/login.

[Ali1]

В БИОС-е хранился простенький инженерный хэш, к которому подходила эта самая "куча паролей".

Да даже если ваш БИОС и не имеет фирменного backdoor'а, все равно пользоваться паролем на включение компьютера не очень удобно. А запретить на уровне БИОСа загрузку с внешних носителей на современных компьютерах, к сожалению, нельзя: при загрузке можно нажать "волшебную" F10 (или другую клавишу) и из появившегося меню выбрать, с чего грузиться.

Платы надо правильные покупать.
Вот например - Intel 965ry:
Пароль root - установлен.
Пароль user - не задан.
F10 - "для разблокирования введите пароль"
Запуск без пароля
Впрочем, ея BIOS можно переписать из дос, отключив всё кроме флоповода. Но существуют BIOS`ы, которые так не перепишешь.

[NekoExMachina]

взять исходники, исправить, скомпилировать, скопировать полученный бинарник в /bin/login.

Гениально.
Я подразумевал, _на_что_ пропатчить.
Т.е., какой функционал добавить/отнять.

[devilr]

При наличии физического доступа к компьютеру спасет, разве что, шифрование. Остальное можно решить, допустим, ноутбуком. К которому через USB цепляем винт - и тут уж хоть пароль меняй, хоть просто так данные сливай.
Ну, либо сбрасываем BIOS. Если первая загрузка с флоппи - цепляем его и опять же обнуляем пароль.

P.S. Можно и не обнулять. Допустим сохранить хэш, сделать свои черные делишки и положить хэш обратно.

[/dev/random]

Можно сбрасывающие биос контакты на плате обмазать изолирующим лаком :)

[Ali1]

Можно сбрасывающие биос контакты на плате обмазать изолирующим лаком

Проводник перерезать.

PS А если пароль лежит не в CAMOS ?

[sash-kan]

Т.е., какой функционал добавить/отнять.

полный простор для фантазии.
примеры:
вообще не давать залогиниться с учётной записью root.
пароль root-а (точнее, хэш, конечно) ни откуда не считывать, а задать константой в программе.
пароль root-а считывать не из /etc/shadow, а из какого-нибудь непримечательного файла (/etc/X11/xorg.conf, например (улыбка)).

[begin2009]

Можно сбрасывающие биос контакты на плате обмазать изолирующим лаком

Проводник перерезать.

PS А если пароль лежит не в CAMOS ?

А если выдрать батарейку и потом вставить? Единственно - шифровать ФС.

[Ali1]

А если выдрать батарейку и потом вставить? Единственно - шифровать ФС.

А если пароль лежит не в микросхеме CAMOS, а в энергонезависимой памяти ?
Шифрование ФС не спасает. Вы не можете держать ядро на шифрованной ФС. Следовательно есть возможность его подмены и кражи пароля ФС.
Выход только в правильной BIOS и аппаратном шифровании загрузчика и ядра системы.

[begin2009]

А если выдрать батарейку и потом вставить? Единственно - шифровать ФС.

А если пароль лежит не в микросхеме CAMOS, а в энергонезависимой памяти ?
Шифрование ФС не спасает. Вы не можете держать ядро на шифрованной ФС. Следовательно есть возможность его подмены и кражи пароля ФС.
Выход только в правильной BIOS и аппаратном шифровании загрузчика и ядра системы.

Вообще-то, согласен. А еще, помните были такие компы (i286 - i486) на системнике был замочек. Пентиумов с замком уже не видел.

[Atolstoy]

Пентиумов с замком уже не видел.

На брендовых до сих пор такие ставят, например Dell. Это для бизнес-пользователей

[Ali1]

Серв. корпус 5U 19" IN-WIN "IW-R3000N" ATX 2.03 (без БП)
....
Защита от несанкционированного доступа Датчик вскрытия корпуса, замок на передней и петля для висячего замка на боковой панели
5 196.72

[begin2009]

Пентиумов с замком уже не видел.

На брендовых до сих пор аткие ставят, например Dell. Это для бизнес-пользователей

Тогда понятно, почему не видел. Пятый комп (со времен первых пней) - и все на коленке деланные.

[Brainsburn]

Вобще непонятно, почему не реализовали до сих пор технологию "железного" пароля для администратора, который зашит в чипе материнки. Такое, конечно, повседневно использовать неудобно, но в случаях, когда надо отлучиться, оставив компьютер среди народа, это очень бы помогло. Конечно хард можно и так вытащить, но это уже другой вопрос :)

[Bluetooth]

Вобще непонятно, почему не реализовали до сих пор технологию "железного" пароля для администратора, который зашит в чипе материнки. Такое, конечно, повседневно использовать неудобно, но в случаях, когда надо отлучиться, оставив компьютер среди народа, это очень бы помогло. Конечно хард можно и так вытащить, но это уже другой вопрос

А для чего это надо? Чтобы никто посторонний не получил доступ к инфе? Для этого есть криптография и стеганография. А всякие "вшитые пароли, которые не сбросить" - это только способ угробить железку, забыв пароль.

[MMouXe]

Я подразумевал, _на_что_ пропатчить.

Изменить конструкцию "if" (в теле которой идет разрешение на вход) таким образом, чтобы она, например, разрешала входить под рутом + свой пароль. В итоге как бы админ (злоумышленник) не менял пароль к руту, ты всегда сможешь войти со своим (запасным).

Пентиумов с замком уже не видел.

Таки тоже есть, например, пень ммх в корпусе desktop slimline.