Как защитить Linux от смены пароля root с помощью Grub или LiveCD?

[drBatty]

К сожалению, для защиты (без шифрования разделов) от загрузки с live-CD есть только один вариант: устанавливать пароль BIOS на включение компьютера и запирать корпус компьютера на замок (а еще лучше - держать его в сейфе smile.gif ).

почему-же?!
используйте gpg и шифруйте всё публичным ключём перед выключением.
враг не сможет расшифровать без секретного ключа, которого нет.
вы придёте с флешкой (надо-то всего пару К), и расшифруете.

Если не секрет - как пропатчить, кстати?

взять исходники, исправить, скомпилировать, скопировать полученный бинарник в /bin/login.

как - понятно. как это должно работать?

Платы надо правильные покупать.

отвёртка и пинцет. если нету - столовый нож и ногти.
это не защита, а шутка (или там перемычки clear CMOS тоже нет?)

пароль root-а считывать не из /etc/shadow, а из какого-нибудь непримечательного файла (/etc/X11/xorg.conf, например (улыбка)).

/etc/file/magic
(злорадная ухмылка)

[drBatty]

А если пароль лежит не в микросхеме CAMOS, а в энергонезависимой памяти ?
Шифрование ФС не спасает. Вы не можете держать ядро на шифрованной ФС. Следовательно есть возможность его подмены и кражи пароля ФС.
Выход только в правильной BIOS и аппаратном шифровании загрузчика и ядра системы.

ок. вот у мну третий комп в пяти километрах отсюда. Щаз вы его украдёте, всё сольёте, пароль поменяете, ядро восстановите. И что? Слаку вы можете скачать и более простым методом. А вот как вы будете мой секретный ключ добывать? из свопа что-ли? или из темпа? а их там вроде и нет... давно не юзал. Шифровать ФС я не вижу никакого смысла - долго, неудобно, и страшно всё завалить.

Вообще-то, согласен. А еще, помните были такие компы (i286 - i486) на системнике был замочек. Пентиумов с замком уже не видел.

у меня такой. смысл? сложно выдернуть 1(ОДИН) провод из мамки?

[Bluetooth]

как - понятно. как это должно работать?

Как-как...В пропатченной версии пароль хранится в астрале :)

Помню я пришел в одну контору админить после админа, который, как выразились люди оттуда, "Пропал" :)
Там везде было все под паролем. Все, что только можно. И биосы, и хрениусы, и тд. Больше всего парился над контроллером домена - там пароль в ldap хранится, процедура сброса нетривиальная. А со всей остальной толпой компов не было вообще никаких проблем (:
Конечно, если бы там были бы системники под замком, а ключа бы не было, пришлось бы сломать замок. Но разве на системник могут поставить замок, взлом которого будет действительно серьезной проблемой для человека, у которого руки растут откуда надо? :)

Шифрование ФС не спасает. Вы не можете держать ядро на шифрованной ФС. Следовательно есть возможность его подмены и кражи пароля ФС.

А вот это, кстати, аргумент. Но это тоже можно обойти, используя средства для того, чтобы проверять, подменял ли кто ядро(или что либо другое), или нет.

ок. вот у мну третий комп в пяти километрах отсюда. Щаз вы его украдёте, всё сольёте, пароль поменяете, ядро восстановите. И что? Слаку вы можете скачать и более простым методом. А вот как вы будете мой секретный ключ добывать? из свопа что-ли? или из темпа? а их там вроде и нет... давно не юзал. Шифровать ФС я не вижу никакого смысла - долго, неудобно, и страшно всё завалить.

Имеется ввиду не это. Имеется ввиду подменить ядро, но так, чтобы вы этого не заметили, чтобы в нужный момент спереть у вас секретный ключ, а потом уже прийти за вашими данными :)

[begin2009]

А вообще (в плане паранойи): все равно - все нам враги, все за нами следят, что ни сделай - сломают и украдут. Выхода нет. На любой шуруп есть своя отвертка. Каждый сможет защитить свой комп от человека одного уровня компетенции и не сможет защитить от человека чей градус (в смысле массонском а не алкашеском) выше.

[nadge]

А вот это, кстати, аргумент. Но это тоже можно обойти, используя средства для того, чтобы проверять, подменял ли кто ядро(или что либо другое), или нет.

Кладете ядро и граб на CD-R болванку, на нее ставите свою подпись :) Для подтверждения аутентичности. А весь хард целиком зашифрован. Болванку тоже можно подделать, но за пару минут вашего отсутствия это не получится, к тому же болванку можно с собой таскать.

[Bluetooth]

А вот это, кстати, аргумент. Но это тоже можно обойти, используя средства для того, чтобы проверять, подменял ли кто ядро(или что либо другое), или нет.

Кладете ядро и граб на CD-R болванку, на нее ставите свою подпись Для подтверждения аутентичности. А весь хард целиком зашифрован. Болванку тоже можно подделать, но за пару минут вашего отсутствия это не получится, к тому же болванку можно с собой таскать.

Как-то сложно уже выходит. Просто хард бы с собой таскал. С зашифрованной инфой. А секретный ключ на 256бит выучил бы (:

[Ali1]

отвёртка и пинцет. если нету - столовый нож и ногти.
это не защита, а шутка (или там перемычки clear CMOS тоже нет?)......

....

Шифрование ФС не спасает. Вы не можете держать ядро на шифрованной ФС. Следовательно есть возможность его подмены и кражи пароля ФС.

А вот это, кстати, аргумент. Но это тоже можно обойти, используя средства для того, чтобы проверять, подменял ли кто ядро(или что либо другое), или нет.

ок. вот у мну третий комп в пяти километрах отсюда. Щаз вы его украдёте, всё сольёте, пароль поменяете, ядро восстановите. И что? Слаку вы можете скачать и более простым методом. А вот как вы будете мой секретный ключ добывать? из свопа что-ли? или из темпа? а их там вроде и нет... давно не юзал. Шифровать ФС я не вижу никакого смысла - долго, неудобно, и страшно всё завалить.

Имеется ввиду не это. Имеется ввиду подменить ядро, но так, чтобы вы этого не заметили, чтобы в нужный момент спереть у вас секретный ключ, а потом уже прийти за вашими данными

Точно. Или слить их по сети, а не потрошить чужой комп. ножом.

[Ali1]

Но это тоже можно обойти, используя средства для того, чтобы проверять, подменял ли кто ядро(или что либо другое), или нет.

А эту проверку можно обойти? Точнее не так. Когда надо проверять целостность ядра? Ну и т.д...
Требования к защищенной системе выглядят как-то так:

• Идентификация оператора должна выполняться аппаратно до этапа загрузки ОС.
  Хеши имен и паролей должны храниться в энергонезависимой памяти.
  Энергонезависимая память должна быть размещена вне адресного пространства.
  ПО начальной инициализации должно быть аппаратно защищено от несанкционированной модификации.
  Идентификация должна осуществляться с применением отчуждаемого носителя информации.

[drBatty]

Имеется ввиду не это. Имеется ввиду подменить ядро, но так, чтобы вы этого не заметили, чтобы в нужный момент спереть у вас секретный ключ, а потом уже прийти за вашими данными :)

угу... а я, таки, этого и не замечу...

Идентификация оператора должна выполняться аппаратно до этапа загрузки ОС.

дык... если комп аппаратно защищён, то и проблемы нет.

[Ali1]

Цитата(Ali1 @ 11th September 2009 - в 20:58) *
Идентификация оператора должна выполняться аппаратно до этапа загрузки ОС.

дык... если комп аппаратно защищён, то и проблемы нет.

А если нет, то проблема не имеет решения.
И тут важно вовремя остановится на пути к недостижимой безопасности.
PS У меня на работе есть машина с беспарольным автозапуском файрфокса, чтобы из сети не выдирали забыв пароль. Беречь там нечего, т.к. сохранить и изменить ничего нельзя.

[Ленивая Бестолочь]

я знаю, как защититься от livecd. убрать дисковод :D

а серьезно:
[paranoia]
систему на шифрованные разделы, пароль на граб/лило, перешиваем биос core boot-ом, в нем жестко устраиваем загрузку только с ваших винтов и больше ни с чего.
[paranoia]

[Ali1]

[paranoia]
систему на шифрованные разделы, пароль на граб/лило, перешиваем биос core boot-ом, в нем жестко устраиваем загрузку только с ваших винтов и больше ни с чего.
[paranoia]

Еще лучше попытаться ядро(а`ля lobos) впихнуть в образ биос.
http://www.vidgrab.com/coreboot__aka_Linux...MpM9k']кино

[Bluetooth]

• Идентификация оператора должна выполняться аппаратно до этапа загрузки ОС.
  Хеши имен и паролей должны храниться в энергонезависимой памяти.
  Энергонезависимая память должна быть размещена вне адресного пространства.
  ПО начальной инициализации должно быть аппаратно защищено от несанкционированной модификации.
  Идентификация должна осуществляться с применением отчуждаемого носителя информации.

Да, но к персоналкам это неприменимо.

[Ali1]

Да, но к персоналкам это неприменимо.

Ну почему? Сложно, но можно. КАМИ BIOS – база построения защищенных компьютерных систем

[Bluetooth]

Да, но к персоналкам это неприменимо.

Ну почему? Сложно, но можно. КАМИ BIOS – база построения защищенных компьютерных систем

Я просто не знал, что на практике такое есть. Спасибо.

З.Ы. Позитивные у них решения. Мне эта контора понравилась.

[/dev/random]

Лучше всего ядро, initrd и прочее таскать всюду с собой на загрузочной флэшке. А диск держать зашифрованным _целиком_.

[Bluetooth]

Лучше всего ядро, initrd и прочее таскать всюду с собой на загрузочной флэшке. А диск держать зашифрованным _целиком_.

Неплохо, но флэшку могут и украсть (:
Поэтому лучше ключ шифрования заучить (: (: (:

[sirocco]

[Bluetooth]

Несмотря на явную актуальность данного замечания, эта тема к обсуждаемой не относится.

[/dev/random]

Поэтому лучше ключ шифрования заучить (: (: (:

В этом случае ядро придётся хранить незашифрованным, и его могут подменить. А на флэшке не подменят.

[Ali1]

Поэтому лучше ключ шифрования заучить (: (: (:

В этом случае ядро придётся хранить незашифрованным, и его могут подменить. А на флэшке не подменят.

А если на флешке хранить не ядро а номера блоков шифрованого диска где ядро лежит?
ps Надо посмотреть умеет ли второй груб открывать запароленные архивы.

[/dev/random]

А если на флешке хранить не ядро а номера блоков шифрованого диска где ядро лежит?
ps Надо посмотреть умеет ли второй груб открывать запароленные архивы.

Угу. Ключевое слово - grub. В вашем случае он тоже оказывается незашифрованным, и злоумышленник может подменить его.

[Davinel]

Мм.. а нельзя просто не хранить мегасекретные данные на обычном персональном компьютере?
Информация лежит спокойно на сервере, доступ к нему - только удаленный, физически на сервере может даже видеокарты не быть.
При этом любой доступ к компьютеру логгируется, дабы не было возможности установить всякие кейлогеры и узнать пароль доступа к серверу.
А ну и поставить камеру слежения, чтобы можно было легко выяснить кто злоумышленник )

[Ali1]

А если на флешке хранить не ядро а номера блоков шифрованого диска где ядро лежит?
ps Надо посмотреть умеет ли второй груб открывать запароленные архивы.

Угу. Ключевое слово - grub. В вашем случае он тоже оказывается незашифрованным, и злоумышленник может подменить его.

В итоге, мы опять приходим к руткиту биос. Получается необходима либо модификация биос, либо TCG, либо uefi. А главное правильный чип флеш-rom и разводка платы.

Davinel
Можно. Ломать будем сервер.

[Bluetooth]

Поэтому лучше ключ шифрования заучить (: (: (:

В этом случае ядро придётся хранить незашифрованным, и его могут подменить. А на флэшке не подменят.

Не, я имел ввиду ядро таскать на флешке, а ключ заучить ))

[Davinel]

Можно. Ломать будем сервер.

Как? Ломом?

[Bluetooth]

Можно. Ломать будем сервер.

Как? Ломом?

Что, трудно сломать сервер? Ломом,кстати, неудобно. Я бы предпочел кувалду, ну или эксплойт какой-нибудь

[Davinel]

ломать надо ломом, это очевидно из названия!

экслоплойт эт хорошо конечно, но если это у нас специальный такой сервер, на котором запущен один единственный ssh и все, то я слабо представляю что тут можно сделать, кроме брутфорса..

[/dev/random]

экслоплойт эт хорошо конечно, но если это у нас специальный такой сервер, на котором запущен один единственный ssh и все, то я слабо представляю что тут можно сделать, кроме брутфорса..

Водку сторожу и цветы уборщице.

[MMouXe]

Но разве на системник могут поставить замок, взлом которого будет действительно серьезной проблемой для человека, у которого руки растут откуда надо?

Зачем ставить замок на сервак, если последний можно просто перенести из курилки в приспособленное для таких вещей место с замками, системами контроля доступа и прочим?