Heslo pro roota

Odpovědi na dvě skupiny otázek:
- zapomněl jsem heslo a chci se dostat do systému
- chci zabránit jiným dostat se do systému


Problém: Zapomněl jsem rootovské heslo.

Odpověď: Pokud máte nezabezpečený přístup k lilu (standardní stav po typické instalaci většiny distribucí), stačí na prompt lila zadat
linux single.
Pokud se v jednouživatelském režimu spouští sulogin, který se ptá na heslo superuživatele, pomůže spustit místo initu rovnou shell:

linux init=/bin/sh

případně

linux init=/bin/ash.static

Pak stačí příkazem

mount -o remount,rw /

připojit disk pro zápis a příkazem passwd heslo změnit.

Používáte-li LILO v grafickém režimu, je třeba nejprve stiskem kombinace CTRL-X přepnout do textové nabídky. Tato kombinace může být u vaší distribuce odlišná - například Mandrake používá k přepnutí klávesu Esc; aktivní kombinace by měla být napsána na obrazovce nebo v dokumentaci.

V novějších distribucích najdete častěji grub než lilo, ale situace je podobná. Klávesou e (edit) se přepnete na řádek obsahující parametry zavádění jádra, doplníte příslušné volání, např.

init=/bin/bash 

a pomocí b (boot) nabootujete a zobrazí se vám prompt superuživatele.


Problém: Do takového systému se dostane každý.

Odpověď: Lilo má možnost vázat zadávání argumentů na heslo. Stačí do hlavní sekce přidat parametry

restricted
password=HESLO

Po zadání argumentu k jménu jádra a odeslání se lilo bude ptát na heslo. Soubor lilo.conf je pak samozřejmě nutné ochránit proti čtení:
chmod go= /etc/lilo.conf
Více viz lilo.conf (5).

Problém: Zapomněl jsem heslo pro lilo.

Odpověď: Nabootovat z diskety/CDROMu, případně předat lilu argument (v ideálním případě je zaváděcí disketa obvykle vytvářená při instalaci již takto nastavena)
root=/dev/hda1.

Problém: Do takového systému se dostane každý.

Odpověď: Pomůže změnit bootovací sekvenci v BIOSU tak, aby na prvním místě byl pevný disk, a zaheslovat i vstup do BIOSu.

Problém: Jak se dá obejít toto nastavení?

Odpověď: 1. Některé BIOSy mají univerzální hesla. 2. Každý BIOS se dá po otevření počítače resetovat (ochrana skříně zámkem nebo hlídacím softwarem nemusí být dostatečná). 3. Vždycky se dá disk vyndat a zapojit do jiného počítače - pak k němu získáte plný přístup. Můžete změnit heslo, ale také přistupovat ke všem datům.

Závěry:

  1. Servery a důležité stanice je vhodné mechanicky, případně ještě softwarově zabezpečit.
  2. Volný přístup k serveru je základní bezpečnostní riziko, servery mají mít vyhrazenou místnost s omezeným nebo řízeným přístupem. V opačném případě se všechny postupy míjí účinkem, mohou posloužit v mírně hlídané počítačové učebně, ale počítač nezabezpečí dostatečně.
  3. Proti nepoučenému nebo nezodpovědnému správci nepomůže nic.
  4. Citlivá data je nutné šifrovat a chránit i proti vlastnímu rootovi.
Odkazy:
http://underground.cz/41
 (boot - paranoia ?)
http://www.keczy.cz/cti.phtml?id=89
http://www.linuxdoc.org/HOWTO/Security-HOWTO-3.html
http://www.securityportal.com/cover/coverstory20000828.html
 (Anyone with a Screwdriver Can Break In!)
http://atrey.karlin.mff.cuni.cz/~rebel/sfs/ - secure filesystem
nebo na www.kerneli.org oficiální patch do jádra
Více v Filesystems-HOWTO.
--
BestCrypt na:
http://www.jetico.com/
Vytvoří se jeden soubor, který obsahuje (jakýkoliv) filesystém
--
boot paranoia
http://underground.cz/clanek.html?id=41
--