LINUX.ORG.RU

Ищу способ защитить систему от сброса пароля

 


0

1

Привет

Есть несколько руководств, на забугорных ресурсах подобных этому (это не реклама, так что копируйте/вставляйте сами):

https://linuxconfig.org/recover-reset-forgotten-linux-root-password

https://linuxmint-user-guide.readthedocs.io/en/latest/lost-password.html

И я хочу предотвратить такую возможность.

Система уже настроена. Linux mint 21 (если это важно, я могу обновить до 22). Нет шифрования диска или домашнего каталога. И я не хочу переустанавливать систему, слишком много программ и слишком много пользовательских настроек.

Угроза? Защита от домочадцев. Это не про снятие диска и тд, именно сделать похожие методы невозможными или очень сложными.

Пароль на биос влепил. Он перманентный и не стирается даже при снятии батарейки.


именно сделать похожие методы невозможными или очень сложными.

Шантаж, запугивание(с угрозой на физичискую расправу). Спрячь клавиатуру в конце концов.

xaTa ★★★★
()

при возможности физического доступа посторонними к машине - только полнодисковое шифрование.

Пароль bios сбрасывается на раз-два снятием батарейки. Пароли пользователей - даже без флешки - в параметрах grub init=/bin/bash

ALiEN175
()
Ответ на: комментарий от ALiEN175

Пароль bios сбрасывается на раз-два снятием батарейки.

Кто-то не умеет читать :)

Пароль на биос влепил. Он перманентный и не стирается даже при снятии батарейки.

Dimez ★★★★★
()
Ответ на: комментарий от Dimez

не стирается.

Угу. И не сбрасывается. А при забытии пароля устройство окирпичивается и хард забивается нулями. Ну-ну. /s

Уверен на 99% что ТС просто вытащил батарейку и вставил обратно через секунду, а замкнуть контакты гнезда батарейки не удосужился.

ALiEN175
()
Последнее исправление: ALiEN175 (всего исправлений: 2)
Ответ на: комментарий от ALiEN175

Не знаю как у вас, но на UEFI Asus (ноуты) пароль пишется в мульт или хз куда (зависит от ревизии вроде) и хранится в енергонезависимой памяти.

Даже видео где-то видел на этот счет: https://youtube.com/watch?v=IQxgNPwSDeI

В таких случаях только программатор. И то не факт что поможет.

anonymous
()
Ответ на: комментарий от ya-betmen

И что это изменит в случае ТС?

Почитайте статьи с поста. Там во второй статье сказано как через загрузчик скинуть.

По идее пароль на GRUB, но это сложная процедура. Если ламер лучше не лезть. В два клика не выйдет.

anonymous
()

Пароль на биос влепил. Он перманентный и не стирается даже при снятии батарейки.

Конечно, автор не в курсе про вшитые производителем пароли, которые можно найти на соответствующих ресурсах.

Вся надежда, что для твоего оборудования пока не слили такие пароли.

Сам так обходил свой забытый пароль от ноутбука, который большую часть времени лежал в шкафу. Батарейка в нём впаянная, разбирать и отпаивать её лень было, поэтому пришлось половину интернета прошерстить на предмет вшитого пароля. На удивление нашел быстро.

anonymous
()

Жесткий диск из компьютера выдирается за пару минут. И вставляется другой компьютер или юсбишный переходник за 200р подключается к планшету или телефону.

Причем диск выдрать даже проще, чем батарейку.

Ну и если опасаться близких, то я бы добавил ежедневный ритуал проверки комнаты на наличие скрытых камер, через которые можно подсмотреть пароль. Если уж падать в бездну паранойи, так основательно.

anonymous
()
Ответ на: комментарий от anonymous

скрытых камер

Ну, дак можно и микрофоном звуки клавиш распознавать и по э/м излучению. Если у тебя папа хакер-партизан, лучше не ставить пароль на биос.

mky ★★★★★
()

Вспомни себя в детстве и прикинь ежель твой папаня тебе палки вставлял в колёса. Бекап сделай и, если дети продвинутые, что могут сбросить пароль в лине, купи им свой ноут. Надо поощрять ынтерес, а не создавать проблему на пустом месте.

vtVitus ★★★★★
()
Ответ на: комментарий от anonymous

Жесткий диск из компьютера выдирается за пару минут.

шифрование и ключи LUKS на флешке, которую носишь с собой.

на наличие скрытых камер, через которые можно подсмотреть пароль.

использовать не только пароль, но и смарт-карту и т.п.
А камеру надо ставить свою - аудит доступа тоже важен.

MirandaUser2
()

100 процентный вариант только шифрование диска. Иначе диск можно вынуть и получить доступ к данным.

По минимуму: пароль на биос, отключение загрузочного меню, пароль на груб, запрет редактирования вариантов загрузки.

От снятия диска защита не будет.

kostik87 ★★★★★
()
Ответ на: комментарий от anonymous

Если тc не хочет много возиться с возвратом пароля то упростит жизнь, если боится, что у него с диска данные вынут, то без шифрования он всё равно не сможет.

ya-betmen ★★★★★
()
Ответ на: комментарий от kostik87

Шифрование диска не 100% вариант. initrd тривиально модифицируется и записывает введённый пароль в /boot/.password. К шифрованию диска нужен ещё secure boot со своими ключами и использование TPM для детекта того, что initrd изменился. Вообще защищаться от коварных и умелых домочадцев очень сложно. Физический доступ к оборудованию даёт очень много, вплоть до кейлоггера на проводе от клавиатуры.

vbr ★★★★★
()
Последнее исправление: vbr (всего исправлений: 3)

Что же там за информация такая и что за домочадцы? У меня обратные мысли, типа, а как бы так сохранить все доступы, что если я случайно кони двину неожиданно, чтобы близкие смогли получить все мои доступы.

А по теме, зашифруй один раздел, куда положишь чувствительные данные, а на остальное как-то пофиг должно быть, пусть доступ получают. Только «ниточку повяжи», чтобы сразу увидеть, если кто-то доступ получил и настучать по рогам.

Loki13 ★★★★★
()
Ответ на: комментарий от vbr

Если он перезапишет /boot/.password или конфиг grub - ничего страшного.

Корневая файловая система шифрованная и пока ты не откроешь шифрованный контейнер вводом ключа шифрования или подключая флешку с ключом на неё ты не попадёшь.

Но при таком варианте при каждом включении системы нужно будет вводить ключ шифрования от контейнера корневой файловой системы.

kostik87 ★★★★★
()
Ответ на: комментарий от vbr

Вообще защищаться от коварных и умелых домочадцев очень сложно. Физический доступ к оборудованию даёт очень много, вплоть до кейлоггера на проводе от клавиатуры.

Беги оттуда или выселяй, если у тебя такие проблемы в семье.

kostik87 ★★★★★
()
Ответ на: комментарий от kostik87

Если он перезапишет /boot/.password или конфиг grub - ничего страшного.

В смысле ничего страшного? Тебе подменили initrd. Ты ввёл пароль от диска при загрузке, этот пароль сохранился в файле. Ты ушёл из дома, систему загрузили с Live CD и увидели твой пароль.

vbr ★★★★★
()
Ответ на: комментарий от ALiEN175

При возможности физического доступа посторонними к машине:

  1. Выпаять чип где хранится биос, вывести на корпус коннектор
  2. Купить FPGA и эмулировать эту самую флешку
  3. Систему собрать используя принцип USI (https://overhead.neocities.org/blog/build-usi-mkosi/) и жить в оперативке

Тот же FPGA помимо эмуляции чипа биоса, будет тебе и прикидываться CD, DVD приводом куда эта USI система монтируется

Само устройство на базе FPGA будет размером с Siemens m65 ;)

Вариантов других нету, если они у вас есть, то вас уже поимели и вашу жену и дети уже не от вас и завтра прийдут вас выселять ;D

zxflux
()
Ответ на: комментарий от zxflux

в общем кто привык в маня мирке с розовыми пони жить, то ставьте шифрование и так далее и слушайте местных клоунов)))

А если есть потребность в защите своего железа, то просто не оставляйте шансов)))

Пришел такой горе атакующий и думает ах у меня новый буткит сейчас я dxe заряжу ему и он не сном не духом, приходит а там даже флешки биоса нет))))))))))))

zxflux
()
Ответ на: комментарий от vbr

Шифрование диска не 100% вариант. initrd тривиально модифицируется и записывает введённый пароль в /boot/.password.

Достаточно просто зашифровать boot-раздел и до initrd, без знания пароля, не доберутся.

QsUPt7S ★★★
()
Ответ на: комментарий от anonymous

Точно-точно. А потом протянет синюю таблетку, и закричит, тряся за плечо «Prosnis', Neo, you obosralsya!». Есть кулстори? Ябпачетал.

piyavking ★★★★★
()
Последнее исправление: piyavking (всего исправлений: 3)

Проще грузиться по сети с флешки, которую с собой носить. Аппаратный ключ шифрования. Сканер отпечатков пальцев. Можно еще заварить корпус и влепить беспроводное включение, чтобы кнопкой включить было нельзя.

anonymous
()

Мы не нейросети, чтобы придумывать тебе кучу глупых способов, когла ты отмёл главный.

Иди шифруй, если тебе нужно, чтобы твои «домочадцы» не смогли попасть за пк. Научись переносить данные на шифрованный раздел, чтобы не нужно было ничего переустанавливать.

Другое дело, что если у тебя такие «домочадцы», что даже могут сбросить биос, то тебе от них и обычное шифрование не поможет. Воткнут тебе аппаратный кейлогер в клавиатуру или сделают руткит в неподписанное ядро и тд.

mamina_radost
()
Последнее исправление: mamina_radost (всего исправлений: 1)
Ответ на: комментарий от ALiEN175

На леновах, например, этот фокус не прокатывает. Хоть ты обосрись, а пароль не сбросится. Причём он хранится не в BIOS/UEFI, так что можешь хоть прошивать, хоть чип менять — фиолетово.

mord0d ★★★★★
()

Без шифрования никак. Всегда можно вытащить жёсткий диск, воткнуть в другой компьютер и скопировать любые файлы. И не поможет ни пароль на BIOS, никакая конфигурация системы. Также можно отредактировать пароль в /etc/shadow, вернуть диск на место и зайти с новым паролем.

Шифруй диск. Или выгоняй ненадежных людей из дома и меняй замки.

KivApple ★★★★★
()
Последнее исправление: KivApple (всего исправлений: 1)