Jak zaheslovat single rezim?

Marian Rychtecky linux na mari.cz
Sobota Květen 18 12:19:18 CEST 2002 

Samozrejme chapu, to, ze kdyz ma nekdo fyzicky pristup k PC, muze si s nim v
podstate udelat co bude chtit.
Jde mi o to, ze existuje clovek, ktery umi Linux nainstalovat spustit sluzby
a jediny zpusob kterym se umi dostat do "zaheslovaneho" Linuxu je takovyto.
Myslim, ze stizim-li tento zpusob tak jak navrhujete (LILO), nebude schopen
se do nej dostat.Jde o jakesi "ztizeni" pristupu.
Je to opravdu divne, samozrejme by bylo nejlepsi tento PC ukryt aby k nemu
nemel nikdo pristup, problem je, ze to nemuzu.
Dekuji za radu, jdu studovat "man lilo" :-)
Nicmene je neprakticke po vypadku elektriny jezdit k zakaznikovi zadavat
heslo pro LILO :(((

                                                                 Marian
Rychtecky


> Jde to zabezpecit pres bootloader (alespon pres lilo urcite, man lilo,
> resp. viz archiv konference).
>
> Jde o to, ze pokusy o zaheslovani single-modu jsou pochybne. To, ze vam
> nekdo muze pocitac nabootovat v single modu typicky znamena, ze se k nemu
> primo dostane (pokud ne, a mate napriklad jen nekam ze zamcene skrine
> vyvedenu klavesnici, tak Vam asi nic nebrani tu klavesnici take odnest, a
> dal se o to nestarat). Kdyz uz se k nemu primo dostane, tak na Vas
> zaheslovany single mode muze zvysoka kaslat, protoze ma nepreberne
> mnozstvi moznosti, jak to obejit - da si tam vlastni disketu s nejakou
> minidistribuci, nabootuje z ni (nezapomente, ze ma fyzicky pristup k
> pocitaci - tedy ani zaheslovany BIOS neni problem - proste si vyzkratuje
> baterku), primountuje si Vas disk jako root, a zmeni si co ptorebuje.
> Nebo misto bootovaci diskety vezme sroubovak, disk Vam z pocitace
> vymontuje (nioliv prikazem umount ;) ) a odnese si k jinemu pocitaci, kde
> ho pripoji, a opakuje stejny postup, jako kdyz nabootoval z diskety.
>
> A nebo Vam odnese rovnou cely pocitac.
>
> Zaheslovavani single modu je vice nez pochybne, a nema IMHO zadnou
> bezpecnostni hodnotu.
> To co nekdo navrhoval - narvat neco zaheslovaneho do /etc/rc.d/rc.sysinit

> je myslim take vice nez pochybne, protoze o spusteni tohoto skriptu se
> stara IMHO jiz init, takze kdyz si dam na prikazovy radek kernelu
> init=/bin/bash
> tak je mi zaheslovany rc.sysinit take ukradeny.
>
> --
> JiKos.

Další informace o konferenci Linux