По умолчанию в ПК и ноутбуках BIOS не защищён паролем, а там где он был задан может быть оставлена возможность загрузки с USB Flash. Загрузившись с другого носителя можно получить доступ к диску с вашей системой. Если же меры защиты приняты, остаётся уязвимым загрузчик GRUB с настройками, позволяющими редактировать строку параметров ядра. Передав ядру параметр init=/bin/bash, можно получить полный контроль над системой.
Было бы опрометчиво рассчитывать на компьютерную безграмотность пользователей, поэтому в утилитах Calculate 3.5.3 была добавлена поддержка защиты паролем редактирования параметров загрузки GRUB. Защита паролем - штатная возможность GRUB 2, немного доработанная таким образом, чтобы можно было по прежнему загружать систему, а так же найденные на диске системы без ввода пароля. Для возможности редактирования настроек, а так же для перехода в интерактивный режим потребуется ввести логин “root” и пароль. Пароль можно задать при помощи утилиты cl-setup-boot или из графической консоли:
При установке системы из Live USB для защиты GRUB будет использоваться пароль пользователя root. Пароль надёжно защищён, т.к. хранится в хэше sha512 с доступом только с правами root. При установке системы в резервный раздел, пароль GRUB будет перенесён вместе с другими настройками системы.
снимаем кожух, вставляем загрузочный винт на место существующего, существующий по USB подключаем, получаем доступ к данным.
С ефи так не пролучится, да и кто вам даст в компьютерном классе, офисе и т.п. кожух снимать? И ещё вопрос к каким данным? В системе есть поддержка шифрования директорий пользователя.
В системе есть поддержка шифрования директорий пользователя.
Опять же какой смысл в лишнем пароле?
Может я что то не понимаю, но представим что биос открыт, но стоит пароль на grup! Ну и … LiveUSB, chroot и какая мне разница что там с grub. А если биос запоролен, то возвращаемся к пункту 1 зачем нам лишний пароль?
В системе есть поддержка шифрования директорий пользователя.
Опять же какой смысл в лишнем пароле?
Может я что то не понимаю, но представим что биос открыт, но стоит пароль на grup! Ну и … LiveUSB, chroot и какая мне разница что там с grub. А если биос запоролен, то возвращаемся к пункту 1 зачем нам лишний пароль?
Или я что то не понимаю?
Представьте что система стоит не у вас дома, а в компьютерном классе где-нибудь в школе или вузе. Отсутствие пароля на биосе позволит школьнику загрузиться со своей флешки. Т.е. чтобы взломать систему нужен загрузочный носитель. Открытось же граба позволяет получить контроль над системой ещё проще, быстрее, с меньшими знаниями и главное без какого-либо носителя. Не нужно угадывать по какой клавише FX вам нужно вызвать меню выбора загрузки или лезть в биос чтобы включить загрузку с флешки, просто тупо → “e” → “init=/bin/bash rw” → “rm -rf /”. Ну или насколько фантазии хватит, например rm по крону или wget какого-нить своего заготовленного скрипта в автозагрузку.
А чтобы не плодить лишние пароли, по умолчанию в Grub используется пароль root.