Архив форумов ЦИТФорума

[TechNoir]

Внес изменения в rc.conf (FreeBSD), допустил синтаксическую ошибку. Система при загрузку ругается, спрашивает про shell по умолчанию и после Enter показывает значок #. Исправить ошибку не могу,т.к File System is read-only. Чем лечить?
_________________
Vive la Russie!

[TechNoir]

Узнал также что возможно во время начальной загрузки набрать boot -s
затем когда появится приглашение mount -u /, затем mount -a,
затем passwd root и могу сменить пароль суперпользователя.

Так ту же самую вещь может сделать любой.
ЭТО ДЫРА ПО УМОЛЧАНИЮ?

это дело как-то можно выключить?
_________________
Vive la Russie!

[butcher]

vi /etc/ttys
сменить secure на insecure
_________________
Нет ничего невозможного...

[TechNoir]

-
_________________
Vive la Russie!

[TechNoir]

-
_________________
Vive la Russie!

[butcher]

-
_________________
Нет ничего невозможного...

[Dmitry.Karpov http://prof]

По вопросам безопасности есть много мнений, и одно из них изложено у мена на сайте.

Обычно если человек добрался до консоли, то он получает доступ и к сист.блоку (редко между монитором с клавиатурой и сист.блоком стоИт стена с дыркой для кабелей. А если удалось добраться до сист.блока, то можно вытащить диск и поставить его в свою машину, загрузиться в root и делать что угодно.

Хорошей защитой будет снятие монитора и клавиатуры, т.к. если взломщих добрался до этого, то он точно сможет переставить диск. Ещё можно создать другого суперпользователя (по умолчанию есть toor, но он заблокирован), а для root выставить shell="/sbin/nologin" - тогда 'passwd root' ещё не даст взломщику желанного доступа (хотя 'boot -s' уже даёт почти всё, что нужно, но только до перезагрузки). Ну и chflags очень помогает против малопросвещённых взломщиков, особенно против тех, кто пришёл с др.Unix'ов.

Опция "secure" означает наличие на данной консоли/терминале охраны и, =>, возможности доверять этой консоли (т.е. пускать root не спрашивая пароля). (Собственно, это уже сказали.)

[TechNoir]

"Хорошей защитой будет снятие монитора и клавиатуры, т.к. если взломщих добрался до этого, то он точно сможет переставить диск"
Я сегодня плохо спал и что-то не уловлю смысла этого предложения.

Если стоит комп с монитором и клавиатурой, то взломщик может переставить диск, а если комп стоит без монитора, то взломщик не может переставить диск.
Правильно я понял?
А если я понял правильно, то получается я ничего не понял.

-------

"Ещё можно создать другого суперпользователя (по умолчанию есть toor, но он заблокирован), а для root выставить shell="/sbin/nologin" - тогда 'passwd root' ещё не даст взломщику желанного доступа "

То есть в этом случае имя суперпользователя служит своеобразным паролем для смены настоящего пароля.

-------

У меня есть желание отключить 10-секундную задержку при загрузке.
У вас, у опытных админов наверное так и есть

------

"Опция "secure" означает наличие на данной консоли/терминале охраны и, =>, возможности доверять этой консоли "

То есть реально человек, который сидит рядом с компьютером и никого к нему не подпускает кроме админа. Так?
--------

Такой вопросик напоследок.
В файле /etc/ttys много строчек с secure. Я надеюсь мне не все нужно менять на insecure?
_________________
Vive la Russie!

[Dmitry.Karpov http://prof]

1) В комнате (возможно, ещё и в сейфе) стоит сервер под FreeBSD без монитора и клавиатуры. В этом случае взломщик, желающий воспользоваться SingleUser-входом должен попасть в комнату и получить доступ к сист.блоку, дабы воткнуть туда монитор и клавиатуру (если в комнате нет клавиатури мониторов - их придётся принести с собой). Но в таком случае взломщик может принести с собой свой сист.блок с заранее установленной FreeBSD; он сможет вынуть HDD из моегго сервера, поставить его к себе, смонтировать разделы и сделать что ему угодно (исключение - корпус сервера, закрываемый на замОк, но это - редкость).

2) Если заблокировать пользователя root всеми способами (переставить ему shell, заменить home-директорию на ту, где в профиле стоИт команда exit, запретить ему вход через /etc/login.access и /etc/hosts.allow и т.п.), то взломщик должен либо выправлять всё это, либо искать альтернативное имя сеперпользователя. И то, и другое требует сил, знаний и времени.

3) echo 'autoboot_delay="1" # Delay in seconds before autobooting' >>/boot/loader.conf

4) Либо человек-охранник, либо "на железной двери надёжный замОк" ((C) "Крематорий").

5) Вроде, на остальных терминалах "secure/insecure" разрешает/запрещает вход суперюзера (разумеется, со вводом пароля). Но в любом случае можно войти обычным юзером из группы wheel и дать команду 'su ...'.
В плане взлома это требует от взломщика знать не один пароль, а два, что затрудняет взлом.