Планета Calculate

Облако тэгов

blog wiki qutim bonding bond канал calculate2 ldap cds mail hdd smart flashplayer alsa db маршрутизатор iptables полезное новости optimization emerge grub grub2 загрузка загрузчик перенесено cls CDS домашний сервер linux tbn calculate livecd cld uptime calculate linux bsa games templates шаблоны vpn tun tap ssh доступ удаленная сеть pptp samba winbind calculate-sources kernel update LVM ПО оптимизация репозиторий portage сеты EAPI 2 release ДНК DNA calculate 2.2 fonts шрифт сглаживание CLDX packages overlay CLD Calculate Gnome Desktop Office CLDG cldg gentoo postfix mailman maillist разработка kde и многопоточный звук CLS irc профиль пользователя рассылка wget многопоточная закачка calculate-install пресса news press screenshot gnome win7 theme Windows 7 установка calculate-install-gui developers костыли birthday серые листы почта Spamassassin twitter iphone интернет blueman bluetooth benchmark benchmarking facebook GSC CSS sony vaio template CDS dns dhcp wi-fi network XFCE autologin nouveau book install syslog authentication internet USE meta package builder recordmydesktop pitivi ffmpeg ubuntu debian windows stage desktop кеширование binary CMC BINHOST BugTracker live-flash MultiTail udev bittorrent acl tracker mirrorselect vim bash-completion помощь участие распространение openldap weechat binhost torrent mirror PowerTOP Midnight Commander bash командная строка mp3 cp1251 UTF-8 dropbox kde xfce textile dwm chromium интервью elogv udisks udisks-glue ccze grc most tail handbook calculate utilities make.conf man apvlv pdf djvu umd plugn #calculatelinux euse openrc NetworkManager dns python cairo-dock glx-dock windows 7 rtorrent rutorrent flags strategy X Xorg ati ati-drivers 11.6 udisks ntfs-3g team jabber pastebin video donation Gnome3 canto ncurses RSS reader cmc lirc ПДУ xbmc Audio sound pulseaudio history foto VirtualBox Calculate Linux world openbox xchat tint tint2 slim feh obconf obmenu xxkb nm-applet автологин брелок bug autounmask package unmasking nut lighttpd ups atheros9285 atheros asus Zen оптимизация ядра lvm raid btrfs p2p linuxdcpp Calculate Utilities перемещаемые профили xorg установка linux настройка linux оптимизация linux asus n10j двойная загрузка atom n270 dhcp KDE MidnightCommander kde vlc smplayer mplayer настройка цветов монитора настройка цветов фотоаппарата настройка цветов принтера настройка цветов сканера цветовой профиль icc locale localepurge Atheros Calculate Linux Enlightenment E17 Calculate Calculate E17 mc swap ParaType font глобальное меню git ускорение keyboard layout pwkl proxy profile E17 backdor vulnerability безопасность firefox звук hdmi TV mouse клавиатура мышка радио mpg123 ppp0 net ядро xsel gnome3 Скоростной алгоритм сжатия LZ4 acoola Calculate USB Creator видео screencast 1C postgresql apache pam security pxe aufs calculate3 midori кодировка CP1251 Summer Camp beta начало блог описание python3 Icon programming установка Icon в Calculate фидонет фидо linux icon распространение программ утилитки на Icon nano подсветка синтаксиса создание подсветки синтаксиса день программиста ratigan монитор экран разрешение persistence persistence-mode liveusb livedvd remoteapp freerdp w2k3 w2k8 keyexec radeon AMD pf-kernel pre code documentation форматирование текста fontconfig lcdfilter fonts шрифты DPI qrencode qr-code xfce cl-console-bg screensaver caffeine курсор мыши unclutter steam valve objecticon сборка из исходников mencoder Firefox ext4 e4rat gnome 2 tuxonice hibernate uefi сайт github dvcs Либрусек MyRuLib Библиотека Книги сервер xen виртуализация google talk-plugin dmix звуковые карты rip GPT EFI CL14 SSD производительность обмен опытом mate cldm alpha shorewall firewall clementine dmidecode tools CSC dhcpcd networking pgo АТС asterisk revision Tor lautre lm_sensors monitoring temperature cl-update-profile minicom 3G 4G LTE Huawei cl cpu family utilities eudev systemd cl-kernel браузер tweaks RT zswap uksm nexus android bootchart OpenRC systemd-udevd new MATE dconf features CLDM abi_x86_32 kde5 KDE5 Plasma CLSK freshplayerplugin otter QupZilla openssh ControlMaster Снобизм XZ kernek qupzilla calculate-utils работа вакансия программист android kde mtp ebuild CLSL день рождение CLDL CLDC Cinnamon calculate linux antivirus free помощь проекту calculate utils реестр icons browser cl-builder Compose unicode ini.env su sudo CL17 план plan luks cryptsetup codelite cpp support forum форум lto howto дизайн Timeless тема gcc power energy saving CLC LXC LXD distro container telegram repo libvirt kvm qemu rdp automagic softraid muqss pae x86 markdown dnscrypt server vps openvpn calculate-access lxc-desktop CCDX xmpp reestr

Закрытие лазейки в GRUB

Добавил(а) Alexander Tratsevskiy около 1 года назад

По умолчанию в ПК и ноутбуках BIOS не защищён паролем, а там где он был задан может быть оставлена возможность загрузки с USB Flash. Загрузившись с другого носителя можно получить доступ к диску с вашей системой. Если же меры защиты приняты, остаётся уязвимым загрузчик GRUB с настройками, позволяющими редактировать строку параметров ядра. Передав ядру параметр init=/bin/bash, можно получить полный контроль над системой.

Было бы опрометчиво рассчитывать на компьютерную безграмотность пользователей, поэтому в утилитах Calculate 3.5.3 была добавлена поддержка защиты паролем редактирования параметров загрузки GRUB. Защита паролем - штатная возможность GRUB 2, немного доработанная таким образом, чтобы можно было по прежнему загружать систему, а так же найденные на диске системы без ввода пароля. Для возможности редактирования настроек, а так же для перехода в интерактивный режим потребуется ввести логин "root" и пароль. Пароль можно задать при помощи утилиты cl-setup-boot или из графической консоли:

При установке системы из Live USB для защиты GRUB будет использоваться пароль пользователя root. Пароль надёжно защищён, т.к. хранится в хэше sha512 с доступом только с правами root. При установке системы в резервный раздел, пароль GRUB будет перенесён вместе с другими настройками системы.

cl-setup-boot.png (45,23 КБ)

grub.png (78,66 КБ)


Комментарии

Comment

Добавил(а) Сергей Сиделев около 1 года назад

...BIOS не защищён паролем, а там где он был задан может оставаться возможность загрузки с USB Flash...

Вроде как, без пароля на BIOS нельзя будет выбрать другой источник загрузки и загрузиться с флешки.

Comment

Добавил(а) Alexander Tratsevskiy около 1 года назад

Да, конечно, я имел ввиду что по невнимательности можно эту лазейку оставить.

Comment

Добавил(а) Виктор Кустов около 1 года назад

без шифрования диска это не имеет смысла

Comment

Добавил(а) Alexander Tratsevskiy около 1 года назад

Виктор Кустов писал(а):

без шифрования диска это не имеет смысла

Можно обосновать?

Comment

Добавил(а) Виктор Кустов около 1 года назад

снимаем кожух, вставляем загрузочный винт на место существующего, существующий по USB подключаем, получаем доступ к данным.

Comment

Добавил(а) Alexander Tratsevskiy около 1 года назад

Виктор Кустов писал(а):

снимаем кожух, вставляем загрузочный винт на место существующего, существующий по USB подключаем, получаем доступ к данным.

С ефи так не пролучится, да и кто вам даст в компьютерном классе, офисе и т.п. кожух снимать? И ещё вопрос к каким данным? В системе есть поддержка шифрования директорий пользователя.

Comment

Добавил(а) Юрий Ануфриев около 1 года назад

Alexander Tratsevskiy писал(а):

Опять же какой смысл в лишнем пароле?
Может я что то не понимаю, но представим что биос открыт, но стоит пароль на grup! Ну и ..... LiveUSB, chroot и какая мне разница что там с grub. А если биос запоролен, то возвращаемся к пункту 1 зачем нам лишний пароль?

Или я что то не понимаю?

Comment

Добавил(а) Alexander Tratsevskiy 12 месяца назад

Юрий Ануфриев писал(а):

Alexander Tratsevskiy писал(а):

В системе есть поддержка шифрования директорий пользователя.

Опять же какой смысл в лишнем пароле?
Может я что то не понимаю, но представим что биос открыт, но стоит пароль на grup! Ну и ..... LiveUSB, chroot и какая мне разница что там с grub. А если биос запоролен, то возвращаемся к пункту 1 зачем нам лишний пароль?


Или я что то не понимаю?

Представьте что система стоит не у вас дома, а в компьютерном классе где-нибудь в школе или вузе. Отсутствие пароля на биосе позволит школьнику загрузиться со своей флешки. Т.е. чтобы взломать систему нужен загрузочный носитель. Открытось же граба позволяет получить контроль над системой ещё проще, быстрее, с меньшими знаниями и главное без какого-либо носителя. Не нужно угадывать по какой клавише FX вам нужно вызвать меню выбора загрузки или лезть в биос чтобы включить загрузку с флешки, просто тупо → "e" → "init=/bin/bash rw" → "rm -rf /". Ну или насколько фантазии хватит, например rm по крону или wget какого-нить своего заготовленного скрипта в автозагрузку.

А чтобы не плодить лишние пароли, по умолчанию в Grub используется пароль root.

Comment

Добавил(а) Виктор Кустов 12 месяца назад

а если пароль рута пустой?

Comment

Добавил(а) Alexander Tratsevskiy 12 месяца назад

а если пароль рута пустой?

С пустым паролем рута установщик не поставит систему.

Спасибо!