Uz dlhsie mi viri v hlave myslienka, ze zmenou /etc/shadows resp. /etc/passwd je mozne zmenit heslo pre root-a. Dnes sa vo velkej miere pouzivaju LiveCD distribucie, pomocou ktorych mam uid0.
Aka je moznost, ze ochranim spominane subory pred prepisanim pri bootovani z Live CD?
Bezpecnostny problem?
Pre pridávanie komentárov sa musíte prihlásiť.
1) prestat pouzivat autorizaciu pomocou /etc/shadow a prejst na LDAP ale potom moze vzniknut problem s servisnym zasahom bez siete.
2) prestat pouzivat lokalne data a prerobit verejne pristupne terminaly na sietove terminaly (PXE, NFS, ...)
3) znemoznit pripojenie daneho suboroveho systemu pomocou (spomenuteho) kryptovania ale to je potom potrebne naklusat ku kazdemu terminalu a zadat heslo na pripojenie pri kazdom reboote.
4) zakazat boot z ineho media (cd/usb/..) ako schvaleneho a zabezpecit to heslom v biose a plombou na krabici.
takze najlepsie z mojho pohladu je pouzit 2ku na viac strojov a na svoj (a lokalny server) 3ku :-) 4ku pre vsetky.
vtip je v tom, ze skutocne fyzicky pristup k stroju znamena absolutny pristup k datam. kto je sikovny a ma srobovak, ten vyskratuje bios a s kludnym svedomim preinstaluje system na hocico ine, teda pokial dokaze precvaknut blombu. a ked nie, tak moze predsa nakopnut instalacku aj po sieti, prerobit notebook na docasny server znamena velmi malo.
a aby nenastala mylka, tak tento problem je multiplatformny a nezavisly od operacneho systemu. to si ho len windos admini zatial neuvedomili, ved maju falosny pocit bezpecia :-)