Пароль локальной сессии

везде пишут, что если компьютер случайно потеряется, взломать перебором пароль очень просто

Если данные не зашифрованы - подбирать не надо.

Где правда и какая существует good practice на этот счёт?

Не терять компьютер.

в убунту все делается через sudo

Открой для себя su! И да, только психически больной оставит дефолтные настройки бубунты! При sudo ты должен вводить пароль рута, а не пользователя! Иначе какой вообще толк от этого sudo?

взломать перебором пароль очень просто

Ты хоть раз пробовал? Через три попытки тебе дадут подумать минуту. Через еще три попытки - пару минут. И все дольше и дольше…

Ты хоть раз пробовал? Через три попытки тебе дадут подумать минуту. Через еще три попытки - пару минут. И все дольше и дольше…

Вытащить хеш слабо?

И сколько ты будешь SHA512 подбирать?

Ну и да, если ты в состоянии вытащить хэш, то у тебя есть права рута. Нафиг в этом случае знать пароль пользователя???

если ты в состоянии вытащить хэш, то у тебя есть права рута

Нет.

ДА! Как ты иначе хэш вытащишь?

Ну и да: если у тебя есть физический доступ к компьютеру, то это значит, что у тебя уже есть рутовский доступ (пусть даже загрузившись из live flash и сделав chroot), т.е. можно в ~/.bashrc жертвы подменить login на обертку, которая, скажем, отошлет пароль на мыло, а потом вернет все, как было…

приходится регулярно вводить, опять же в убунту все делается через sudo.

При администрировании. При обычной работе нет.

взломать перебором пароль очень просто

Задавай длинный пароль с использованием букв в разных регистрах, цифр и знаков препинания. Пароли вида qwer1234 в подборе идут в первую очередь.

И ещё, если у нас будет заранее неизвестное имя пользователя

При условии, что логин-менеджер сам не предлагает список имён, и ты точно не включал заведомо известного root. Ну и что ФС без пароля не доступна.

ты точно не включал заведомо известного root

Это ж каким надо быть ослом, чтобы без рута в системе работать?

Если ставлю кому-то бубунту, то первым делом задаю пароль рута: sudo passwd. Вторым — лезу в sudoers и настраиваю ввод пароля target, а не юзера! Потому что иначе — маразм!!!

И да, нужно убедиться, что по умолчанию новые пользователи не будут находиться в группах wheel и sudo.

Бубунта — та еще мастдайка. Я б ее создателя на ядрену бомбу привязал, да в пиндостан отправил!

sudo это антипаттерн.

если компьютер случайно потеряется, взломать перебором пароль очень просто

При наличии физ. доступа зайти под рутом можно просто передав ядру некие параметры, так что тред особо не имеет смысла. Как уже сказали, если хочешь защититься, шифруй диск.

Вот это понимаю уровень, можно не логиниться и не подписываться, все равно узнают)

Потому что иначе — маразм!!!

А если у компа (сервер) несколько пользователей?

В группе wheel должны быть исключительно те, кому доверяешь. А sudo лучше вообще даже не ставить.

Вот, скажем, в генте из коробки sudo нет — потому что дыра в безопасности!

А бубунта - мастдайка. Поэтому там по дефолту пользователь == рут.

И ещё, если у нас будет заранее неизвестное имя пользователя, это усиливает защиту т.к. подбирать надо пару логин/пароль, или нет?

Ничего не надо подбирать. Данные и так доступны. В общем случае.

good practice

Не допустить физического доступа к компьютеру.

И, пользователь:пароль - это про авторизацию, а не про защиту данных. Данные защищают на другом уровне.

Важные данные:

1. Шифровать.
2. Хранить только на внешних носителях.
3. Не таскать с собой без надобности.

Остальное - в хомяк с хорошим паролем.

заранее неизвестное имя пользователя усиливает защиту т.к. подбирать надо пару логин/пароль?

Не более, чем хороший пароль

зайти под рутом можно просто передав ядру некие параметры

rw init=/bin/bash

Учитывая то, что важных данных обычно от силы пару сот мегабайт (всякие пароли к веб-сервисам, да сканы документов), то достаточно будет использовать encfs. И данные спокойно можно таскать на флешке, просто запомнив пароль: на любом компе, где установлена encfs, можно будет подмонтировать.