Bezpečnost v Linuxu?

[makl]

Zdravím místní odborníky. Linux se mi zalíbil svojí koncepcí uživatelských práv a omezení pro normální uživatele, takže nemohou napáchat moc velkou škodu (když už tak jen sobě).
Když jsem řešil některé ze svých problémů s Ubuntu, tak jsem dostal dobrou radu na určitá opatření která jsem měl provést v záchranném režimu.
Ale teď k jádru věci: když bootovacím menu zvolím možnost záchranného režimu, tak jsem po nabootování přihlášený jako root (a to bez znalosti jeho hesla!!!). Této možné cesty nabourání do systému (když se někdo dostane k mému stroji) se není možné zbavit ani po odebrání záchraného režimu z /boot/grub/menu.lst, neboť lze bootovací příkaz velmi jednoduše poupravit i při samotném výběru OS v GRUBU.
Tzn. kdokoli se dostane do tohoto výběru se stává bez znalosti jakýchkoli hesel vládcem systému.
Já jsem to vyřešil tím, že mám v BIOSu nastaveno heslo pro harddisk, na které se mě mašina ptá ještě než naběhne GRUB, ale stejně mě svrbí pomyšlení, že někdo může být rootem i bez hesla.
Zajímá mě váš názor na tento (?)rozpor, případně jestli se dá výše popsanému chování ještě někde nějak zabránit.

[MiBo]

paranoia - muzes si zaheslovat grub, ale jako pokud se ti nikdo dostane k pocitaci tak te pomuze snad jen zakryptovani vsech dat

[Vojtěch Trefný]

Paranoia opravdu (ale já ji docela chápu), ale kromě toho ještě neschopnost hledat: http://forum.ubuntu.cz/viewtopic.php?id=3707

[makl]

Tohoto tématu jsem si nevšiml (asi jsem nezvolil zrovna ta nejsprávnější klíčová slova), ale uvedené řešení je (aspoň jak ho chápu já) nic neřešící, jelikož si lze v grubu vybrat, ale nepotvrzovat Enterem ale klávesou E se dostat do editačního režimu a přepsat quiet splash a nabootovat zase hezky do recovery módu.
O tohle mi ale nejde a zaheslování grubu nebo biosu aj. nevidím ideální řešení (naštěstí já ho nehledám), spíš by mi připadlo přirozené, že by se ten recovery mód nejdříve zeptal na heslo roota a teprve potom by uživateli povolil pod ním pracovat.

[radeczech]

Je to taková skrytá díra... Ale zase na druhou stranu, pokud nějak zapomeneš apod. heslo roota, tak to takhle můžeš napravit.
K paranoi bych ještě přidal, zaheslovat vstup do BIOSu a nechat bootovat jen z konkterétního HDD. Ještě lze nabootovat z live cd a zmocnit se OS...

[Pavelp]

Linux puvodne jako viceuzivatelsky viceulohovy system mel vzdycky roota a uzivatele. Kdo znal jmeno a heslo, mohl, ostatni meli smulu. Ubuntu tuhle politiku zmenilo, pravdepodobne z duvodu, ze prevazna vetsina useru bude mit masiny doma, vyrazna bezpecnostni opatreni nebudou nutna a userum to usnadni praci, nebudou muset zkoumat co a proc je root. Vy se to snazite zase vratit zpatky. Je rozdilne, jestli chcete zabranit prohlizeni dat na disku, coz jde prakticky udelat jen jejich zakodovanim, nebo zamezit spusteni systemu.

[drat]

To ze se dostanes s Grubu do zahcraneho rezimu neni vubec nic zvlastniho. To neni ani v nejmensim bezpecnostni chyba. Jak uz bylo recenoda se to zaheslovat. Ale je to o architekture pocitacu a vubec vsehoc co zname. Proste pust nekoho primo k PC a nemas sanci se ubranit. Kdyz by bylo nejhur piuzije Live CD a je konec. Tak to proste je vsude a asi dlouho bude. Tohle neni problem Linuxu, ake pocitacu celkove. Ono taky mistnosti kde jsou servery nejsou jen vetrane se stalou teplotou, bla bla...., ale i zamcene

[fastsnail]

Této možné cesty nabourání do systému (když se někdo dostane k mému stroji)...

Když se někdo dostane k Vašemu stroji, tak se do něho přece nabourá třeba přes jakékoli live CD, takže vás moc nechápu...

[makl]

Když se někdo dostane k Vašemu stroji, tak se do něho přece nabourá třeba přes jakékoli live CD

Jeden asi blbý dotaz: jak může někdo nabootovat z LiveCD, když není v BIOSu povolená volba bootování z CD?

[zigi]

Když se někdo dostane k Vašemu stroji, tak se do něho přece nabourá třeba přes jakékoli live CD

Jeden asi blbý dotaz: jak může někdo nabootovat z LiveCD, když není v BIOSu povolená volba bootování z CD?

kdyz uz jsem u toho konkretniho PC, tak me nic nebrani vyresetovat BIOS a pak si nastavit, co chci

[drat]

Proste pokud nemas pocitac na marsu, tak nejsi v bezpeci pokud nekoho pustis fyzicky primo k nemu. A k tem biosum stejne existuje vec jako universalni hesla. Nebo v krajnim pripade, jak uz bylo receno, prehodis na chvili jumpery nebo vytahnes baterku z desky.

[Vojtěch Trefný]

Smím se zeptat proč potřebujete tak bezpečný počítač? Z vaší starosti mi totiž připadá, že jste minimálně agent FBI, který ovšem svůj notebook s kódy pro odpálení jaderných střel cestou do práce vždy zapomene ve vlaku.

Jak již bylo řečeno, když se někdo dostane k počítači tak se dostane i k datům, pokud máte potřebo větší bezpečnosti, tak vám nezbývá nic jiného než nějaká kryptografická metoda zabezpečení (příp. neprůstřelný kufr na notebook, který si pouty připevníte na zápěstí a budete ho takhle mít stále při sobě).

[romi]

tak isto ako pri cisco zariadeniach ..ked sa k nemu pripojis cez konzolovy kabel...tak mas nad nim plnu moc dokazes sa bez problemov zbavit hesiel ...

[radeczech]

Pokud stavíš nějaký server, tak chápu tvoji paranoi, ale zase je potřeba to brát s rezervou, žádný systém (sw i hw) nelze 100% zabezpečit, všude jsou díry ať už programové nebo zapříčiněné lidským faktorem...

Hardware je nedeterministicky spolehlivý.
Software je deterministicky nespolehlivý.
Lidé jsou nedeterministicky nespolehliví.
Příroda je deterministicky spolehlivá.
-> zdroj LDP

[LS]

Osobne se mi to take moc nelibi. Mam nekolik pocitacu ve studovne, ktere pouziva vice lidi, kazdy ma svuj ucet a presne stanoveny rozsah pravomoci. Se startem v zachrannem rezimu muze kazdy uzivatel ziskat plnou moc nad celym systemem. Pocitace nemaji CD mechaniku a boot z FDD/USB je zakazany v BIOSu. Zatim to resim zaheslovanim grubu, zkusim se nekde podivat jestli neexistuje nejaky patch ktery by zachranny rezim uplne znemoznil.

[scippio]

a co toto? http://www.gnu.org/software/grub/manual/grub.html#Security

[LS]

a co toto? http://www.gnu.org/software/grub/manual/grub.html#Security

Zatim to resim zaheslovanim grubu...

[scippio]

a co toto? http://www.gnu.org/software/grub/manual/grub.html#Security

Zatim to resim zaheslovanim grubu...

no tak v cem je problem? kdyz smazes recovery mod a zaheslujes editovani tak kazdej pokud nezna heslo nabootuje normalne ne?

[Pavelp]

Osobne se mi to take moc nelibi. Mam nekolik pocitacu ve studovne, ktere pouziva vice lidi, kazdy ma svuj ucet a presne stanoveny rozsah pravomoci. Se startem v zachrannem rezimu muze kazdy uzivatel ziskat plnou moc nad celym systemem. Pocitace nemaji CD mechaniku a boot z FDD/USB je zakazany v BIOSu. Zatim to resim zaheslovanim grubu, zkusim se nekde podivat jestli neexistuje nejaky patch ktery by zachranny rezim uplne znemoznil.

Lilo.

[MiBo]

a co toto? http://www.gnu.org/software/grub/manual/grub.html#Security

Zatim to resim zaheslovanim grubu...

no tak v cem je problem? kdyz smazes recovery mod a zaheslujes editovani tak kazdej pokud nezna heslo nabootuje normalne ne?

No nemusis ho uplne mazat staci zamknout viz.:
http://ubuntuguide.org/wiki/Ubuntu:Edgy/Security#How_to_disable_all_interactive_editing_control_for_GRUB_menu

[scippio]

Nebo-li finální odpověd je .. zamknout nouzový režim... nic víc se řešit nemusí.