Планета Calculate

Облако тэгов

звуковые карты wi-fi udev news полезное работа mail swap abi_x86_32 KDE5 xsel серые листы winbind tracker ДНК cld cp1251 live-flash valve syslog QupZilla kvm cairo-dock автологин настройка цветов принтера freerdp mpg123 форматирование текста профиль пользователя bonding book dwm NetworkManager apvlv CLDG qemu rtorrent uptime rutorrent ati autologin ccze asus n10j press радио mailman BINHOST builder persistence icons bash CSS клавиатура kde5 cldg strategy benchmark форум lm_sensors screenshot alpha пресса feh tun slim maillist lighttpd шаблоны домашний сервер Gnome3 hdmi CSC remoteapp zswap networking flashplayer atom n270 Книги foto тема pam power KDE dhcpcd android textile bond Tor elogv многопоточная закачка asus revision tint browser ati-drivers asterisk lirc vaio games desktop ups ускорение Xorg windows MultiTail BugTracker cpu family mplayer реестр PowerTOP su ПО RT mencoder package unmasking установка net cl-builder vulnerability blog tint2 программист LXC qrencode сайт утилитки на Icon EFI ControlMaster помощь день рождение LXD рассылка man LTE фидонет pre qupzilla db Calculate E17 wiki umd persistence-mode mirrorselect aufs xfce оптимизация AMD bootchart cryptsetup pxe birthday obmenu доступ rdp emerge radeon pf-kernel udisks ntfs-3g xen grub openbox midori кодировка CP1251 настройка цветов сканера beta keyboard systemd-udevd Calculate package sound gcc handbook ini.env grc MATE kernel pwkl cds командная строка firefox mate make.conf XZ kernek win7 acl jabber recordmydesktop windows 7 tweaks autounmask ext4 minicom двойная загрузка #calculatelinux linux tbn bug виртуализация benchmarking raid Firefox hibernate calculate2 w2k3 маршрутизатор gnome vpn support calculate-install-gui calculate utilities glx-dock CLC 4G calculate utils otter features profile Windows 7 Huawei new tools CDS dns dhcp настройка цветов фотоаппарата Calculate Linux Enlightenment сглаживание udisks-glue reader цветовой профиль icc фидо перенесено костыли распространение pdf cmc dropbox kde xfce pastebin twitter ssh шрифт authentication cls канал wget uksm LVM world мышка день программиста Midnight Commander sudo kde nano calculate-sources templates temperature pitivi calculate 2.2 portage CMC xchat ПДУ howto theme звук dvcs meta djvu cl-update-profile X linuxdcpp 1C postgresql apache fontconfig lcdfilter fonts шрифты DPI atheros9285 ratigan монитор экран разрешение sony smplayer описание tuxonice flags optimization fonts bluetooth uefi VirtualBox nm-applet weechat 11.6 backdor qr-code alsa torrent tail forum интервью Audio utilities donation сеты monitoring распространение программ systemd Office security загрузчик dhcp binhost Скоростной алгоритм сжатия LZ4 TV GSC canto браузер CL14 xxkb участие USE samba screensaver MyRuLib lto distro xbmc keyexec python3 Снобизм stage luks UTF-8 оптимизация linux lautre дизайн energy saving plan репозиторий Summer Camp 3G курсор мыши install Calculate Utilities Библиотека shorewall gnome3 GPT steam производительность gentoo vlc p2p mp3 Plasma plugn ldap screencast icon w2k8 mc lvm Compose установка Icon в Calculate nexus repo git team CLDC Atheros XFCE cldm сборка из исходников openssh pulseaudio pgo помощь проекту CLDM liveusb ppp0 tap mouse vim перемещаемые профили cl-kernel iptables mirror android kde mtp livecd Gnome cpp livedvd установка linux e4rat calculate3 начало update caffeine binary code dns calculate linux antivirus free documentation calculate-install dmidecode kde и многопоточный звук codelite euse CLSK rip grub2 интернет unclutter freshplayerplugin hdd most openrc container release Либрусек acoola новости SSD bsa font iphone dconf btrfs E17 nut настройка цветов монитора план RSS безопасность ebuild ядро gnome 2 github ncurses почта удаленная сеть qutim разработка xorg packages openldap udisks template calculate postfix ffmpeg ubuntu clementine глобальное меню загрузка CL17 CLSL EAPI 2 CLS обмен опытом E17 Calculate telegram chromium OpenRC Timeless overlay libvirt создание подсветки синтаксиса bittorrent АТС nouveau network calculate-utils developers вакансия ParaType facebook locale Desktop eudev DNA irc оптимизация ядра CDS настройка linux atheros calculate linux obconf automagic pptp MidnightCommander cl-console-bg cl CLDX linux CLDL internet history objecticon видео blueman firewall layout Zen softraid CLD подсветка синтаксиса video python dmix debian localepurge google talk-plugin smart блог bash-completion кеширование proxy Icon Calculate USB Creator Calculate Linux Spamassassin брелок programming сервер Cinnamon unicode

Закрытие лазейки в GRUB

Добавил(а) Alexander Tratsevskiy 7 месяца назад

По умолчанию в ПК и ноутбуках BIOS не защищён паролем, а там где он был задан может быть оставлена возможность загрузки с USB Flash. Загрузившись с другого носителя можно получить доступ к диску с вашей системой. Если же меры защиты приняты, остаётся уязвимым загрузчик GRUB с настройками, позволяющими редактировать строку параметров ядра. Передав ядру параметр init=/bin/bash, можно получить полный контроль над системой.

Было бы опрометчиво рассчитывать на компьютерную безграмотность пользователей, поэтому в утилитах Calculate 3.5.3 была добавлена поддержка защиты паролем редактирования параметров загрузки GRUB. Защита паролем - штатная возможность GRUB 2, немного доработанная таким образом, чтобы можно было по прежнему загружать систему, а так же найденные на диске системы без ввода пароля. Для возможности редактирования настроек, а так же для перехода в интерактивный режим потребуется ввести логин "root" и пароль. Пароль можно задать при помощи утилиты cl-setup-boot или из графической консоли:

При установке системы из Live USB для защиты GRUB будет использоваться пароль пользователя root. Пароль надёжно защищён, т.к. хранится в хэше sha512 с доступом только с правами root. При установке системы в резервный раздел, пароль GRUB будет перенесён вместе с другими настройками системы.

cl-setup-boot.png (45,23 КБ)

grub.png (78,66 КБ)


Комментарии

Comment

Добавил(а) Сергей Сиделев 7 месяца назад

...BIOS не защищён паролем, а там где он был задан может оставаться возможность загрузки с USB Flash...

Вроде как, без пароля на BIOS нельзя будет выбрать другой источник загрузки и загрузиться с флешки.

Comment

Добавил(а) Alexander Tratsevskiy 7 месяца назад

Да, конечно, я имел ввиду что по невнимательности можно эту лазейку оставить.

Comment

Добавил(а) Виктор Кустов 7 месяца назад

без шифрования диска это не имеет смысла

Comment

Добавил(а) Alexander Tratsevskiy 7 месяца назад

Виктор Кустов писал(а):

без шифрования диска это не имеет смысла

Можно обосновать?

Comment

Добавил(а) Виктор Кустов 7 месяца назад

снимаем кожух, вставляем загрузочный винт на место существующего, существующий по USB подключаем, получаем доступ к данным.

Comment

Добавил(а) Alexander Tratsevskiy 7 месяца назад

Виктор Кустов писал(а):

снимаем кожух, вставляем загрузочный винт на место существующего, существующий по USB подключаем, получаем доступ к данным.

С ефи так не пролучится, да и кто вам даст в компьютерном классе, офисе и т.п. кожух снимать? И ещё вопрос к каким данным? В системе есть поддержка шифрования директорий пользователя.

Comment

Добавил(а) Юрий Ануфриев 7 месяца назад

Alexander Tratsevskiy писал(а):

Опять же какой смысл в лишнем пароле?
Может я что то не понимаю, но представим что биос открыт, но стоит пароль на grup! Ну и ..... LiveUSB, chroot и какая мне разница что там с grub. А если биос запоролен, то возвращаемся к пункту 1 зачем нам лишний пароль?

Или я что то не понимаю?

Comment

Добавил(а) Alexander Tratsevskiy 7 месяца назад

Юрий Ануфриев писал(а):

Alexander Tratsevskiy писал(а):

В системе есть поддержка шифрования директорий пользователя.

Опять же какой смысл в лишнем пароле?
Может я что то не понимаю, но представим что биос открыт, но стоит пароль на grup! Ну и ..... LiveUSB, chroot и какая мне разница что там с grub. А если биос запоролен, то возвращаемся к пункту 1 зачем нам лишний пароль?


Или я что то не понимаю?

Представьте что система стоит не у вас дома, а в компьютерном классе где-нибудь в школе или вузе. Отсутствие пароля на биосе позволит школьнику загрузиться со своей флешки. Т.е. чтобы взломать систему нужен загрузочный носитель. Открытось же граба позволяет получить контроль над системой ещё проще, быстрее, с меньшими знаниями и главное без какого-либо носителя. Не нужно угадывать по какой клавише FX вам нужно вызвать меню выбора загрузки или лезть в биос чтобы включить загрузку с флешки, просто тупо → "e" → "init=/bin/bash rw" → "rm -rf /". Ну или насколько фантазии хватит, например rm по крону или wget какого-нить своего заготовленного скрипта в автозагрузку.

А чтобы не плодить лишние пароли, по умолчанию в Grub используется пароль root.

Comment

Добавил(а) Виктор Кустов 7 месяца назад

а если пароль рута пустой?

Comment

Добавил(а) Alexander Tratsevskiy 7 месяца назад

а если пароль рута пустой?

С пустым паролем рута установщик не поставит систему.

Спасибо!