Fórum Ubuntu CZ/SK
Ubuntu pro osobní počítače => Obecná podpora => Téma založeno: panet 11 Listopadu 2009, 21:18:01
-
Dnes mi jeden clovicek ukazoval, jak s navodem z Internetu zmeni admin heslo v 8.04 pomoci Grubu.
Melo byt to byt tady toto:
http://blog.taragana.com/index.php/archive/how-to-hack-root-password-in-linux/
Jde to tak i ve vyssich verzich a jak se tomu muzu branit?
-
hehe. to neni zadny hack ale znama vec :D .. a zabranit se tomu da pouze zaheslovanim grubu a nebo zamezenim pristupu k pocitaci nezadoucim osobam ..
-
No jako hack je to oznaceno primo na tom webu, ale to vem cert.
Kdyz zahesluju Grub, znamena to, ze pujde dal vybirat nabidka pri bootovani? Je to dualboot s XP (a Ubuntu mi jaksi dela bezpecnostni hrozbu :-) )
-
ne, neni to hack .. jako hack to muze oznacit tak maximalne lama, ktera je lina precist si dokumentaci ..
a co se tyce bezpecnostni hrozby, tak tu predstavuje spise provozovani windows
-
a btw, ja osobne to znam jinak:
init=/bin/bash
viz ..:
init= [KNL]
Format: <full_path>
Run specified binary instead of /sbin/init as init
process.
-
(a Ubuntu mi jaksi dela bezpecnostni hrozbu :-) )
Kdybys trochu hledal, tak na fóru i na Wiki se o tom dá dočíst docela dost. Je to vlastnost a žádná bezpečnostní hrozba -- použít to totiž může jen někdo, kdo má volný přístup k počítači a možnost jej zapnout/restartovat -- s takovým přístupem k počítači mohu udělat cokoli, co se mi zlíbí, ať už je tam nainstalován libovolný operační systém ;)
-
BBM: Dekuji za odpoved, jeste ze nejsi liny napsat mi neco neduleziteho misto ano pujde to nebo ne nepujde to. Evidentne je ti ale lip.
Ten problem asi nebude az tak rpzsireny, protze kdyz tady na foru dam vyhledat "heslo grub", nenajde mi to nic, totez na Wiki, tak jsem si naivne myslel, ze strucne nekdo odpovi a podle toho to dohledam.
-
http://wiki.ubuntu.cz/FAQ/Bezpečnost (http://wiki.ubuntu.cz/FAQ/Bezpečnost)
http://forum.ubuntu.cz/index.php?topic=37767.5
http://forum.ubuntu.cz/index.php?topic=4381.15
Jinak návod na zaheslování GRUBu např. zde -- http://wiki.ubuntu.cz/Nezni%C4%8Diteln%C3%BD%20desktop
-
BBM: Dekuji za odpoved, jeste ze nejsi liny napsat mi neco neduleziteho misto ano pujde to nebo ne nepujde to. Evidentne je ti ale lip.
.. ceho?
-
http://wiki.ubuntu.cz/FAQ/Bezpečnost (http://wiki.ubuntu.cz/FAQ/Bezpečnost)
http://forum.ubuntu.cz/index.php?topic=37767.5
http://forum.ubuntu.cz/index.php?topic=4381.15
Jinak návod na zaheslování GRUBu např. zde -- http://wiki.ubuntu.cz/Nezni%C4%8Diteln%C3%BD%20desktop
Uz ten navod mam, nejspis jsem pri zadani dotazu zustal v casti fora Obecna podpora, kdyz jsem to zadal jeste jednou do celeho fora, tak jsem to nasel. Pokud to tedy zahesluju podle toho navodu, zustane vyber dualbootu a zaroven znemoznim zmenu root hesla?
PS: Kdyz dam http://wiki.ubuntu.cz/Wiki?action=fullsearch&context=180&value=grub+heslo to fakt napise, ze nic neni. V kombinaci s tim, ze me to nevyhodilo diky memu prehlednuti nic ani na foru jsem si dovolil se zeptat...
Vam pane Trefny dekuji.
Edit: Jeste dotazek - kdyz budu mit Grub2 - bude to tam stejne (tj. nutno zakazat recovery mod) nebo uz je to vyresene?
-
PS: Kdyz dam http://wiki.ubuntu.cz/Wiki?action=fullsearch&context=180&value=grub+heslo to fakt napise, ze nic neni. V kombinaci s tim, ze me to nevyhodilo diky memu prehlednuti nic ani na foru jsem si dovolil se zeptat...
Základní vyhledávání na Wiki hledá jen v názvech článků -- tzn. když se nic nenajde, je potřeba si přečíst, co to píše a nechat si vyhledat fulltextově ;)
Edit: Jeste dotazek - kdyz budu mit Grub2 - bude to tam stejne (tj. nutno zakazat recovery mod) nebo uz je to vyresene?
Pořád narážíme na to základní nepochopení -- to není chyba, ale vlastnost -- tzn. "vyřešené" to není -- vše se chová stále stejně dle záměru.
-
Pořád narážíme na to základní nepochopení -- to není chyba, ale vlastnost -- tzn. "vyřešené" to není -- vše se chová stále stejně dle záměru.
.. hehe. no u GNU veci je tohle pomerne odvazne tvrzeni ;)
-
Panete, smiř se s tím, že PC prostě nelze 100% zabezpečit. Pokud si myslíš, že do Windows XP se nedá dostat bez hesla, tak jsi na velkém omylu. Stačí si nastartovat třeba Ubuntu z CD a na disku uvidíš všechna svá "zabezpečená" data ve Windows. A můžeš si s nimi dělat cokoli, a bez hesla.
Pomůže jenom šifrování, a to jak v Linuxu, tak ve Windows; ale i to má své mouchy - musí totiž vždycky běžet nějaký program, který ti ta data rozšifruje pomocí nějakého hesla či souboru.. a právě to je kámen úrazu, protože šikovný programátor prostě program dovede upravit če znovu naprogramovat tak, aby vypadal přesně stejně, ale aby si zároveň heslo někam uložil. A pak už stačí, aby si při příští návštěvě to získané heslo "kamarád" vyzvedl a případně zahladil stopy.
Když nebudeš hledět na policii, na morálku, na zákony.. tak se například do cizího bytu taky prostě dostaneš, a nezastaví tě zámky, poplašná zařízení.. nic. Tak to holt prostě je. :)
-
No pokud neni povoleno bootovani z CD, je to prece jen slozitejsi, rozmontovavat skrin kvuli heslu do biosu je taky slozitejsi. Ale sednout si s prazdnyma rukama a proste napsat par pismenek a mit admin prava a nasledne se dostat i na admina v tech win JE jednodussi.
Skrin mi ve vyucovani nikdo nerozebere, ale naklapat par pismen, kdyz se suplujici ucitelka venuje (logicky) oprave sesitu neni problem. Z tohoto hlediska jsou ty windowsy prece jen zabezpecene lepe v MEM pripade lepe.
-
Tvrdit, že je něco zabezpečeno, jen na základě toho, že ty sám neznáš způsob, jak se do toho dostat, je vrcholně pošetilé.
-
parametr single AFAIK jenom nabootuje do runlevelu 1, takže pokud máš nastavené heslo pro roota, tak by se to mělo na heslo ptát
(nicméně init=/bin/sh stále funguje)
btw. co si myslíš, že je "recovery mode"?
-
Tvrdit, že je něco zabezpečeno, jen na základě toho, že ty sám neznáš způsob, jak se do toho dostat, je vrcholně pošetilé.
Nenapsal jsem, ze je to zabezpeceno - napsal jsem, ze v tomto pripade je to lepe zabezpeceno. Jeste posetilejsi je tvrdit, ze to tak neni, kdyz nevis, jak to mam zabezpeceno...
-
parametr single AFAIK jenom nabootuje do runlevelu 1, takže pokud máš nastavené heslo pro roota, tak by se to mělo na heslo ptát
(nicméně init=/bin/sh stále funguje)
btw. co si myslíš, že je "recovery mode"?
Heslo pro roota nastavene mam. Teda mel jsem do ted zato, ze mam :-), kdyz jsem zadaval heslo pri instalaci, predpokladal jsem, ze je to heslo administratorske pro roota. Pokud je to tak, ze to heslo ktere jsem zadal pri instalaci NEBYLO heslo roota, ale opravdu jen prave vytvoreneho uzivatele s admin pravy, pak je mozne, ze root zaheslovany neni. Pokud to tak je, vcelku me to prekvapuje, kdyz s beznym heslem dela Ubuntu sileny cavyky, hlida slozitost, podobnost a minule jsem to vzdal, kdyz jsem jej chtel zmenit a root je defaultne nezaheslovany?
No myslel jsem, ze recovery mode, je neco jako zachranny rezim ala "F8 stav nouze", ale nekde tady ve foru v jinem vlakne jsem narazil na poznamku (ted to nedohledam, nejsem doma) ze "se tam stejne dostane, kdyz nezmackne enter, ale jenom E" - nevim, mozna jsem to blbe pochopil, netvrdim, ze Linuxu rozumim, proto jsem se zeptal.
-
Nenapsal jsem, ze je to zabezpeceno - napsal jsem, ze v tomto pripade je to lepe zabezpeceno. Jeste posetilejsi je tvrdit, ze to tak neni, kdyz nevis, jak to mam zabezpeceno...
Z rovnice lepe zabezpeceno != zabezpeceno usuziji, že to máš nezabezpečeno heslem. :-)
-
Tady jsem to nasel:
http://forum.ubuntu.cz/index.php/topic,4381.15.html
Kdyz si prectu, co pise clovek, oznaceny jako administrator fora s nekolika tisici prispevky (Lukas Svoboda) a pta se vicemene na to same, je divne, kdyz se ptam, jestli i po zaheslovani grubu je opravdu recovery nabidka nepristupna?
Je divne, ze se ptam, jak zabezpecim PC tak, aby bez jakehokoli nastroje (bez CD, USB, bez site), s "holyma" rukama behem dvou minut znefunkcnit PC pres Ubuntu?
-
Nenapsal jsem, ze je to zabezpeceno - napsal jsem, ze v tomto pripade je to lepe zabezpeceno. Jeste posetilejsi je tvrdit, ze to tak neni, kdyz nevis, jak to mam zabezpeceno...
Z rovnice lepe zabezpeceno != zabezpeceno usuziji, že to máš nezabezpečeno heslem. :-)
A ty si k tem windowsum sednes a na par kliknuti bez CD, bez USB ta hesla prectes behem 2 minut. Nevim o co ti jde - ze kdyz si nekdo da praci, tak se prolomi i k tem heslum ve win, je jasne, ale kdyz srovnam slozitost toho jak to udelat (bez notorickeho - boot z CD a podobnych navodu, kterych je na webu plno, ale vetsina nefunguje pri dodrzeni bezpecnych zasad a bavi se s nima decka na soom.cz), tak to je slozitejsi, nez podle navodu na pet radku zmenit heslo roota v Ubuntu - pokud to teda jde nebo nejde zabezpecit, coz jsem se porad nedozvedel.
-
4panet .. prosim prestan uz blabolit .. pokud se ti to nelibi, tak s tim neco udelej .. pokud si napriklad v grubu nastavis timeout na 0, tak to zacne bootovat hned .. RTFM !!
a nebo si nainstaluj grub na flashku a odinstaluj ho z disku a flasku si prilep Gafou do podpazdi ..
-
ad.nedozvedel) rikas ze si se nic nedozvedel z cehoz je patrne, ze jsi se vubec neobtezoval kouknout do manualu, nebo na nektery z linku ktery zde padl a uz vubec ne pouzit gugl .. njn, kde nic neni, ani smrt nebere ;)
-
ad.nedozvedel) rikas ze si se nic nedozvedel z cehoz je patrne, ze jsi se vubec neobtezoval kouknout do manualu, nebo na nektery z linku ktery zde padl a uz vubec ne pouzit gugl .. njn, kde nic neni, ani smrt nebere ;)
Vzdyt pisu, ze ve vlakne (http://forum.ubuntu.cz/index.php/topic,4381.15.html) pise uzivatel, ktery je daleko zkusenejsi nez ja, ze to nejspis uplne odstavit nejde. Co mam ja vycist z manualu, kdyz to nevi clovek, ktery se Linuxem zivi? Moje otazky (krome te, cim vlakno zacalo) jsou ted zalozeny na tom, ze jsem uz neco precetl a porad jsou ty informace nejednoznacne. Takze diky tomu, ze jsem se obtezoval, mam tech otazek vic.
edit:
ad time 0 - NEMUZU, jsou to stanice, kde musi vyber OS byt videt.
-
Pane, máte vůbec zájem ten problém vyřešit?? Vždyť vy nehledáte řešení, hledáte potvrzení vaší domněnky, že je to neřešitelný problém...
Vlákno na které odkazujete je X let staré, což znamená, že pan Svoboda měl v té době možná míň příspěvků než Vy teď. Navíc, že je někdo administrátorem zdejšího fóra neznamená, že ho Linux živý (můžete to ale klidně změnit a zdejší administrátory začít platit, jistě se nikdo bránit nebude..). Zaheslujte grub, zamkněte nouzový režim, nastavte silná hesla... v čem je problém?
-
No zivi ne tim, ze je admin, ale tim, ze se podivam na jeho web z profilu a tam vidim, ze poskytuje/val sluzby souvisejici s Linuxem (http://linux.euweb.cz/), takze nevim, proc se domnivate, ze jsem to usoudil z toho, ze je admin.
Ja chapu, ze kdyz se tu nekdo pta, vypada patrne jako blbec, ale nemusi to tak byt nutne - Vy vite, ze nekteri maji v profillu osobni web a z nej se da ledacos vycist (kdyz uz ze me chcete nutne delal blba?).
K tematu: Jiste, ze to chci vyresit, jenom bych, kdyz uz jsem zjistil (aspon castecne) jak se veci maji, nerad stravil cas heslovanim Grubu, abych se pak dozvedel, ze to pujde prekonat uplne stejne nebo temer stejne jako predtim. To je cele, o co se tu snazim a bohuzel nekteri z Vas v duchu, ze jsem blbec, ktery neumi cist, mozna nectou o co mi jde a radi porad dokola to same.
Ja to potrebuju delat na 30 strojich a nez neco takovyho udelam (nevim jak Vy), tak se snazim zjistit co se da, abych nelital pul dne zbytecne. Tak sorry, ze chci mit jistotu. To neni jako doma na jednom stroji, kdyz se neco nepodari, vratit to nebo udelat znova.
Proto jsem se taky ptal, jestli je to i vlastnostiu Grubu2, protoze kdyz povysim na 9.10 nebo 10.04 bud se to vyresi nebo to budu muset delat znova. Co je spatneho, kdyz se na takove veci zeptam?
-
přečti si obsah /boot/grub/menu.lst
tam najdeš všechny potřebné instrukce
hledej "lockalternative" a "password"
nezapomeň nakonec provést # update-grub
ještě se ti může hodit http://www.gnu.org/software/grub/manual/html_node/Security.html#Security (http://www.gnu.org/software/grub/manual/html_node/Security.html#Security)
-
hm ale to jsou všechno návody na grub a proto se ptám, jak zamknout grub2?
na grub2 se btw panet ptal taky ;) nechápu vaše reakce na jeho otázky, myslím, že se ptá rozumně a slušně
a s odpovědí, tak si to najdi, běžte víte kam..
-
pokud grub2 nepodporuje security, tak at ho nepouziva a nainstaluje si normalni grub ..
hm. dalsi duvod proc nepouzivat ubuntu ..
-
co se týče GRUB2:
http://grub.enbug.org/Authentication (http://grub.enbug.org/Authentication)
-
Problém bych viděl v tom, že panáček asi nemá rád, když se mu někdo hrabe v "jeho" počítači ve školní učebně. Ovšem počítače ve školních učebnách je těžké chránit před "neoprávněným přístupem" už z toho titulu, že to odporuje jejich určení :-)
-
Problém bych viděl v tom, že panáček asi nemá rád, když se mu někdo hrabe v "jeho" počítači ve školní učebně. Ovšem počítače ve školních učebnách je těžké chránit před "neoprávněným přístupem" už z toho titulu, že to odporuje jejich určení :-)
Kdybys dělal někde administrátora a byl za ty PC odpovědný, pochybuju, že bys jednal jinak nez on. Pokud si poradne prectete diskusi tak si musite vsimnout ze panetovi se od zacatku jedna v podstate porad o to same, jenom neudal sve duvody hned v prvnim postu, tak ho mel hned kazdej za blazna co si chce zaheslovat svoje domaci PC. Zda se mi naprosto logicky co pise a naopak vetsina odpovedi nerelevantnich...
Resenim, ktery po vas chce, je podle me zruseni recovery modu, cehoz jde dosahnout jeho zakomentovanim nebo smazanim z menu.lst a zruseni moznosti bootu do jednouzivatelskeho rezimu, coz ale nevim jak docilit. Je to tak ne?
-
mka:
Poslys "panacku", nechapes, k cemu jsou PC ve skolnich ucebnach - k rozdrbavani systemu urcite ne.
Zabezpecit se samozrejme proti vetsine "beznych zakovskych" utoku daji, akorat jako clovek, ktery je ma na starosti potrebuji takove reseni, ktere kdyz uz udelam, nebude prustrelne behem male prestavky kazdym "malym jardou" - coz Ubuntu po obycejne instalaci je (ano je to i ma chyba, ale to by me fakt ve snu nenapadlo, pri vsem jak je Linux bezpecny "sam od sebe").
A zatim jsem pochopil to, ze tedy po zaheslovani nabidky by ti melo stacit (i kdyz nekde bylo napsano, ze i tak se da rucne dopsat parametr pri spousteni a obejde se to - coz porad nikdo zde nevyvratil ani nepotvrdil).
-
Resenim, ktery po vas chce, je podle me zruseni recovery modu, cehoz jde dosahnout jeho zakomentovanim nebo smazanim z menu.lst a zruseni moznosti bootu do jednouzivatelskeho rezimu, coz ale nevim jak docilit. Je to tak ne?
Dekuji, to je ono a toto jsem nedokazal doted pojmenovat.
1. Ano zaheslovat lze, to jsem nasel a cetl uz nekolikrat
2. To je asi to, co jsem nasel, ze tomu nelze zabranit - jednouzivatelsky mod, nevim, jak se to jmenuje presne a dost mozna jsem to zamenoval s recovery modem.
Jestlize je mozne tento jednouzivatelsky rezim spustit a ziskat admin prava i po zaheslovani grubu, prijde mi zaheslovani zbytecne, protoze ja to zahesluju a nic si tim nepomuzu. Na toto jsem se (uznavam mozna blbe) nekolikrat ptal a porad dostavam odpoved "zahesluj grub".
Co se tyka administrovani, ty Linuxy (30x dualboot) jsou vicemene navic, vse jede na XP, principielne nemuzu do hloubky nastudovat vse o Linuxu (a ani neverim, ze bych to jenom ctenim manualu hned tak pochopil).
-
V jednouživatelském režimu systém nastartuje do runlevelu 1, kde spustí pouze základní služby a neumožní přihlásit se více než jednomu uživateli (je aktivní jen jedna textová konzole). Není nutné se přihlašovat a automaticky je spuštěn shell superuživatele root. Jednouživatelský režim slouží jako nouzový pro opravu případných problémů (úprava konfiguračních souborů, změna administrátorského hesla apod.).
viz. http://wiki.fedora.cz/doku.php?id=navody:prirucka:grub
ještě zkus mrknout sem :
http://ubuntuforums.org/showthread.php?t=1042560
tady jsem to našel jako nahlášený bug dokonce
https://bugs.launchpad.net/ubuntu/+source/grub2/+bug/190207
je tam zmínka o nějakým patchi, který by měl umožnit ten single user mode vypnout
Ten patch je tohle, ale nemam paru jestli to opravdu funguje a kde a jak to pote bude moci vypnout, to by mohl z kodu vycist nekdo povolanejsi :)
--- /etc/grub.d/10_linux 2008-02-08 15:31:28.000000000 +0100
+++ /etc/grub.d/10_linux 2008-02-08 15:33:13.000000000 +0100
@@ -116,18 +116,20 @@
}
EOF
- cat << EOF
+if test -n "${GRUB_SINGLE_USER}" ; then
+ cat << EOF
menuentry "${OS}, linux ${version} (single-user mode)" {
linux ${grub_dirname}/${basename} root=${GRUB_DEVICE} ro single ${GRUB_CMDLINE_LINUX}
EOF
- if test -n "${initrd}" ; then
- cat << EOF
+ if test -n "${initrd}" ; then
+ cat << EOF
initrd ${grub_dirname}/${initrd}
EOF
- fi
- cat << EOF
+ fi
+ cat << EOF
}
EOF
+fi
list=`echo $list | tr ' ' '\n' | grep -vx $linux | tr '\n' ' '`
done
-
A zatim jsem pochopil to, ze tedy po zaheslovani nabidky by ti melo stacit (i kdyz nekde bylo napsano, ze i tak se da rucne dopsat parametr pri spousteni a obejde se to - coz porad nikdo zde nevyvratil ani nepotvrdil).
pokud je nastaveno heslo, možnost editace je zakázána, dokud není zadáno heslo ==> bez znalosti hesla tam nedopíše nikdo nic
edit: možnost GRUB komandlajny je zakázaná taky
@Zipule
Ten patch tady neřeší vůbec nic
-
pokud je nastaveno heslo, možnost editace je zakázána, dokud není zadáno heslo ==> bez znalosti hesla tam nedopíše nikdo nic
Ja to teda pochopil tak, ze heslo na cely grub pro nej neni reseni, prece nebude obihat tricet komplu a zadavat hesla pokazde, kdyz se zaci budou rebootovat ze systemu do systemu..
-
A vida. Ja jsem to pochopil tak, ze zaheslovat Grub znamena zaheslovat jen nektere polozky, takze vyber OS porad pujde jako predtim.
Kdyz Grub zahesluju, nepujde vybirat polozka OS?
-
Ja to teda pochopil tak, ze heslo na cely grub pro nej neni reseni, prece nebude obihat tricet komplu a zadavat hesla pokazde, kdyz se zaci budou rebootovat ze systemu do systemu..
po nastavení hesla GRUB funguje takto:
- je zakázáno vstoupit do komandlajny
- je zakázáno editovat položky menu
- je zakázáno spouštět položky menu, které jsou označeny řádkem lock - př.:
title Boot DOS
lock
rootnoverify (hd0,1)
makeactive
chainload +1- položky, které nejsou označeny jako zamknuté, jdou spustit normálně
- po zadání hesla všechna omezení zmizí
-
Ja to teda pochopil tak, ze heslo na cely grub pro nej neni reseni, prece nebude obihat tricet komplu a zadavat hesla pokazde, kdyz se zaci budou rebootovat ze systemu do systemu..
po nastavení hesla GRUB funguje takto:
- je zakázáno vstoupit do komandlajny
- je zakázáno editovat položky menu
- je zakázáno spouštět položky menu, které jsou označeny řádkem lock - př.:
title Boot DOS
lock
rootnoverify (hd0,1)
makeactive
chainload +1- položky, které nejsou označeny jako zamknuté, jdou spustit normálně
- po zadání hesla všechna omezení zmizí
Tak tím je to řekl bych vyřešené ne? :)
-
@panet
postup:
1) podle http://wiki.ubuntu.cz/Nezničitelný desktop (http://wiki.ubuntu.cz/Nezni%C4%8Diteln%C3%BD%20desktop#Zabezpe.2BAQ0-en.2BAO0_zavad.2BARsBDQ-e_GRUB) si nastav heslo
2) najdi v /boot/grub/menu.lst řádek
# lockalternative=falsea změň ho na
# lockalternative=truetím zahesluješ všechny recovery módy; můžeš (ale nemusíš) taky podobným způsobem změnit tenhle řádek (stará jádra):
# lockold=false3) spusť
sudo update-grub
-
A zamkne to takhle i ten edit aktuálního jádra?
-
A zamkne to takhle i ten edit aktuálního jádra?
*Yontalcar mlátí hlavou o zeď*
mělo by nějaký smysl, kdyby ne?
přístě bych prosil přemýšlet, než se zeptáš na takovou kravinu
-
tím zahesluješ všechny recovery módy; můžeš (ale nemusíš) taky podobným způsobem změnit tenhle řádek (stará jádra):
Vyčetls tu všechno kromě toho aktuálního jádra. Samozřejmě by to smysl nemělo...proto jsem se pro jistotu zeptal.
Koukám ještě na tvůj post před tím, tam je to řečený jasně, tak se omlouvám :)
-
....
Dekuji