Bezpecnostny problem?

Sekcia: Konfigurácia 23.02.2007 | 20:18
Avatar jv openSuSE 11  Používateľ
Uz dlhsie mi viri v hlave myslienka, ze zmenou /etc/shadows resp. /etc/passwd je mozne zmenit heslo pre root-a. Dnes sa vo velkej miere pouzivaju LiveCD distribucie, pomocou ktorych mam uid0.
Aka je moznost, ze ochranim spominane subory pred prepisanim pri bootovani z Live CD?
    • Re: Bezpecnostny problem? 23.02.2007 | 21:07
      Avatar nardew debian  Používateľ
      sifrovat filesystem napr.
    • Re: Bezpecnostny problem? 23.02.2007 | 22:32
      Avatar borg Arch, Debian jessie  Administrátor
      zaloha na bezpecne miesto, sledovat hash suboru, ak sa zmeni obnovit zalohu
      • Re: Bezpecnostny problem? 23.02.2007 | 23:10
        Avatar jv openSuSE 11  Používateľ
        Zrejme mas na mysli automaticke sledovanie... Ako to dosiahnut?
        • Re: Bezpecnostny problem? 23.02.2007 | 23:12
          Avatar borg Arch, Debian jessie  Administrátor
          integrit
        • Re: Bezpecnostny problem? 24.02.2007 | 02:35
          Avatar Igor Hlina Mac OS ML  Používateľ
          bash script + cron.
          while (2*2 == 5) { echo "If you're reading this, something is definitely wrong"; }
    • Re: Bezpecnostny problem? 24.02.2007 | 16:00
      WlaSaTy   Návštevník
      moznosti je viacero.
      1) prestat pouzivat autorizaciu pomocou /etc/shadow a prejst na LDAP ale potom moze vzniknut problem s servisnym zasahom bez siete.
      2) prestat pouzivat lokalne data a prerobit verejne pristupne terminaly na sietove terminaly (PXE, NFS, ...)
      3) znemoznit pripojenie daneho suboroveho systemu pomocou (spomenuteho) kryptovania ale to je potom potrebne naklusat ku kazdemu terminalu a zadat heslo na pripojenie pri kazdom reboote.
      4) zakazat boot z ineho media (cd/usb/..) ako schvaleneho a zabezpecit to heslom v biose a plombou na krabici.

      takze najlepsie z mojho pohladu je pouzit 2ku na viac strojov a na svoj (a lokalny server) 3ku :-) 4ku pre vsetky.

      vtip je v tom, ze skutocne fyzicky pristup k stroju znamena absolutny pristup k datam. kto je sikovny a ma srobovak, ten vyskratuje bios a s kludnym svedomim preinstaluje system na hocico ine, teda pokial dokaze precvaknut blombu. a ked nie, tak moze predsa nakopnut instalacku aj po sieti, prerobit notebook na docasny server znamena velmi malo.

      a aby nenastala mylka, tak tento problem je multiplatformny a nezavisly od operacneho systemu. to si ho len windos admini zatial neuvedomili, ved maju falosny pocit bezpecia :-)