Jak zaheslovat single rezim?

Jirka Kosina jikos na jikos.cz
Pátek Květen 17 23:00:41 CEST 2002 

On Fri, 17 May 2002 linux_lukas na atlas.cz wrote:

> O necem podobne jsem uz take premyslel ale nic kloubneho jsem
> nevymislel. Preci jenom kdyz zaheslujes moznost zmenit heslo uzivateli
> root a budes muset restartovat PC a vzdalenou spravou budes potrebovat
> zmenit toto heslo tak nemas vlastne sanci. Root ma pravo na vsechno a to
> je ten problem. Mozna by si chtelo vytvorit nejakej ucet s podobnymi
> pravy root ale bez moznosti zmeny hesla a heslo root vygenerovat co
> nejvetsi aby ho nikdo neuhodl tak jsem to vyresil ja, ale reseni to
> urcite moc dobre neni.

Jde to zabezpecit pres bootloader (alespon pres lilo urcite, man lilo, 
resp. viz archiv konference).

Jde o to, ze pokusy o zaheslovani single-modu jsou pochybne. To, ze vam 
nekdo muze pocitac nabootovat v single modu typicky znamena, ze se k nemu 
primo dostane (pokud ne, a mate napriklad jen nekam ze zamcene skrine 
vyvedenu klavesnici, tak Vam asi nic nebrani tu klavesnici take odnest, a 
dal se o to nestarat). Kdyz uz se k nemu primo dostane, tak na Vas 
zaheslovany single mode muze zvysoka kaslat, protoze ma nepreberne 
mnozstvi moznosti, jak to obejit - da si tam vlastni disketu s nejakou 
minidistribuci, nabootuje z ni (nezapomente, ze ma fyzicky pristup k 
pocitaci - tedy ani zaheslovany BIOS neni problem - proste si vyzkratuje 
baterku), primountuje si Vas disk jako root, a zmeni si co ptorebuje.
Nebo misto bootovaci diskety vezme sroubovak, disk Vam z pocitace 
vymontuje (nioliv prikazem umount ;) ) a odnese si k jinemu pocitaci, kde 
ho pripoji, a opakuje stejny postup, jako kdyz nabootoval z diskety.

A nebo Vam odnese rovnou cely pocitac.

Zaheslovavani single modu je vice nez pochybne, a nema IMHO zadnou 
bezpecnostni hodnotu.
To co nekdo navrhoval - narvat neco zaheslovaneho do /etc/rc.d/rc.sysinit 
je myslim take vice nez pochybne, protoze o spusteni tohoto skriptu se 
stara IMHO jiz init, takze kdyz si dam na prikazovy radek kernelu
init=/bin/bash
tak je mi zaheslovany rc.sysinit take ukradeny.

-- 
JiKos.

Další informace o konferenci Linux