single user mode bez hesla?

Milan Kerslager milan.kerslager na pslib.cz
Pondělí Říjen 6 22:26:34 CEST 2003 

On Mon, Oct 06, 2003 at 08:06:46PM +0200, Pavel Kankovsky wrote:
> On Fri, 3 Oct 2003, Milan Kerslager wrote:
> 
> > Pokud jste schopen jadru rict, ze ma spustit single-user mode, pak jste
> > mu schopen predat i init=/bin/sh a tim padem to heslo postrada smysl.
> 
> System muze po nastartovani skoncit v single user mode i z jinych pricin.
> Napriklad kdyz nedokaze automaticky uvest do provozuschopneho stavu
> filesystemy.

Coz se ovsem deje a lze to (u RH i jinde) overit nahledem do
/etc/rc.d/rc.sysinit nebo jineho skriptu, ktery manipuluje s fsck. To
nema s diskuzi o single-user modu s heslem nic spolecneho (protoze
takovehle fail-proof reseni je uplne z jine kategorie problemu).

> > To, ze to "zabezpecene" neni, jen zamezuje hrejivemu pocitu falesne
> > bezpecnosti.
> 
> Neprustrelne to urcite neni, ale vytvari to zjevnou prekazku, kterou musi
> vetrelec vedome prekonat, coz znacne zjednodusuje pripadny pachateluv
> postih (a v teto roli to muze doplnovat nebo v nekterych situacich i
> substituovat fyzickou ochranu).

Jasne. Jenze pokud chcete, aby tam prekazka byla, musite zaheslovat LILO
nebo Grub, aby nesly predavat parametry jadru. Spolehat se na to, ze pan
X "prekona prekazku" tim, ze si vybere stupidni zpusob spusteni Linuxu
(doufaje, ze na nej nevybafne password:) je - rekl bych - nerozumne. A
pokud mu to tim chcete dokazat, pak se pripravte na debakl.

Kdokoliv, kdo to bude zkouset (a neni idiot) vyradi na prvni pokus
vsechny startovaci skripty, ktere by mohly (a udelaji to minimalne
modifikaci atime) ukazat, ze tam byl - proto spusti pres init= shell a
primontuje disk RW s prislusnymi volbami, ze ano (tedy jako minimalni
zaklad).

...a ve skole i ve firme pak staci dat na zeleznou bednu PC nejaky zamek
nebo masivni sroub a na predni dekliky zevnitr kus plechu (protoze
pizlani pilkou na zelezo nebo metrove nuzky budou kazdymu podezdrele).

Suma sumarum proste vubec nechapu, co prinese pozadavek hesla pri vstupu
do single-user modu a tudiz nevidim zadny duvod ho hajit (natoz
doporucit).

-- 
                        Milan Kerslager
                        E-mail: milan.kerslager na pslib.cz
                        WWW:    http://www.pslib.cz/~kerslage/

Další informace o konferenci Linux