• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

vor root password reset schützen

narozk

Well-Known Member
Themenstarter #1
hallo,

normalerweise wird die frage andersrum gestellt.. aber:
sind jemandem methoden bekannt mit denen ich verhindern kann, dass das root passwort direkt am rechner zurückgesetzt werden kann?

danke!
 

soul_rebel

ist immer auf der flucht
#2
mit welchem sinn genau?
ich meine, wenn deine daten nicht vershlüsselt sind und jemand physischen zugriff auf den pc hat, kann er doch sowieso alles.... (einfach freesbie-livecd rein und mounten)
 

d4mi4n

volksoperator on duty
#3
Evtl. könntest du mit Securelevels spielen, aber ich denke mal wenn du damit soweit gehst, dass das Root PW nichtmehr geändert werden kann, dann kannst auch nicht mehr wirklich viel mit dem System anfangen, es läuft dann eben so wie dus vor dem setzen, z.B. auf Securelevel 2 eingerichtet hast.
http://www.freebsd.org/cgi/man.cgi?...ion=0&manpath=FreeBSD+6.2-RELEASE&format=html
oder #man 8 init

Es gibt siche rnoch ander Möglichkeiten, aber die hier fällt mir eben spontan ein.
 
#4
Evtl. könntest du mit Securelevels spielen, aber ich denke mal wenn du damit soweit gehst, dass das Root PW nichtmehr geändert werden kann, dann kannst auch nicht mehr wirklich viel mit dem System anfangen, es läuft dann eben so wie dus vor dem setzen, z.B. auf Securelevel 2 eingerichtet hast.
http://www.freebsd.org/cgi/man.cgi?...ion=0&manpath=FreeBSD+6.2-RELEASE&format=html
oder #man 8 init

Es gibt siche rnoch ander Möglichkeiten, aber die hier fällt mir eben spontan ein.
Falsch! Egal wie man's dreht und wendet, wenn die entsprechende Datei (/etc/passwd etc., vollständige Liste siehe man 5 passwd) auf einem unverschlüsselten Dateisystem abgelegt ist, hilft nichts auch nur annähernd zuverlässig gegen das Ändern des Passworts.

Wer vor dem Rechner steht braucht nur die Festplatte auszubauen, in einen anderen Rechner einbauen und die o.g. Dateien von dort verändern. Das ist aber auch der "Worst Case" für einen Angreifer, üblicherweise genügt es, in den Single User Modus zu booten oder von einer Live-CD.
 

lme

FreeBSD Committer
#5
Wie ist es denn, wenn die Passworteingabe im Single User Mode aktiviert, den CD/USB-Boot im BIOS untersagt, ein BIOS-Passwort vergibt und /etc/passwd auf immutable setzt?
Dann muss man die Platte schon ausbauen, um das root-passwort aendern zu koennen.
Anstatt immutable ginge natuerlich auch noch append, dann kann man sogar noch neue User anlegen.
 
#6
laemodost;158582Dann muss man die Platte schon ausbauen hat gesagt.:
...oder kurz das Gehäuse aufmachen, Batterie rausnehmen, kurz warten und, hoppla, was ist das? Das BIOS hat plötzlich das Passwort vergessen...

Du kannst natürlich noch das Gehäuse mit einem Schloss sichern. Alles eine Frage wie viel Aufwand Du für den gewünschten Grad an Sicherheit treiben willst.
 

soul_rebel

ist immer auf der flucht
#7
laemedost hat gesagt.:
und /etc/passwd auf immutable setzt?
müsste man aber schon das ding in erhöhtem securelvel betreiben sonst briongt das nichts.... und bios passwort schützt meistens auch nicht vor dem booten von cdrom was oft durch hotkeys möglich wird.

also am besten niemand lange unbeaufsichtigt an deinen rechner lassen!!!