Warum ist es möglich, das Passwort eines Admin-Benutzers unter Linux zu ändern?

25

Vor ein paar Tagen wollte mir ein Freund zeigen, dass er mein Linux benutzen kann, auch wenn ich ihm mein Passwort nicht sage.

Er trat in GRUB ein und wählte die Option für den Wiederherstellungsmodus. Mein erstes Problem ist, dass er bereits Zugriff auf meine Dateien hatte (schreibgeschützt). Er hat versucht, passwd zu machen, ist aber gescheitert. Dann hat er eine Art Remount gemacht (ich glaube, das gab ihm Schreibrechte) und danach konnte er mein Passwort ändern.

Warum ist das möglich? Ich persönlich sehe es als Sicherheitsproblem. Wo ich arbeite, gibt es mehrere Leute, die Linux benutzen und keiner von ihnen hat ein BIOS-Passwort oder eine andere Art von Sicherheitswand.

Ilea Cristian
quelle
24
Hierfür ist ein physischer Zugriff auf den Computer erforderlich. Wenn Sie nicht TrueCrypt oder ähnliches verwenden und physischen Zugriff auf Ihren Computer haben, kann ich Ihre Daten auf die eine oder andere Weise abrufen.
Zac B
10
Dies ist nicht spezifisch für Linux. Mit physischem Zugriff können Sie dasselbe unter Windows, OSX oder wahrscheinlich jedem anderen Betriebssystem tun. Einer der Gründe, warum ich das so sehe, ist, dass ein Administrator sein Passwort immer vergessen kann und einen Weg braucht, um in das System zu gelangen.
Laurent
Selbst wenn Sie sich nicht bei dem auf der Festplatte installierten Betriebssystem anmelden können, können Sie einfach eine liveUSB-Distribution starten, die Dateisysteme einbinden und alle Dateien lesen. Sie können Ihr Home-Verzeichnis jedoch jederzeit verschlüsseln. Viele Distributionen haben die Möglichkeit, dies bei der Installation zu tun. Dadurch werden die meisten Daten vor dem Lesen geschützt. (obwohl es nicht verhindern wird, dass es gelöscht wird)
naught101
3
Mit einem Schraubenzieher kann man fast alles machen ...
SamB

Antworten:

43

Die Passwörter sollen den Zugriff von außen (Netzwerk, Internet) verhindern und erreichen diesen. Der physische Zugriff ist jedoch der Root-Zugriff.

Sofern Sie nicht Ihre gesamte Partition verschlüsseln, ist es immer möglich, von einem optischen Datenträger oder einem Flash-Laufwerk zu booten und auf alle Ihre Dateien zuzugreifen. Auf diese Weise können Sie auch die Dateien ändern, in denen die Kennwörter der Benutzer gespeichert sind.

Sie können jedoch den gewünschten Wiederherstellungsmodus deaktivieren. Schritte:

  1. /etc/default/grubIn einem Texteditor öffnen (mit Root-Rechten)

  2. Kommentar entfernen / folgende Zeile hinzufügen:

    GRUB_DISABLE_RECOVERY="true"
    
  3. Speichern Sie die Änderungen und führen Sie den folgenden Befehl aus:

    sudo update-grub
    
Dennis
quelle
4
Das Deaktivieren des BIOS-Passworts dauert nur wenig länger. Sie können zurücksetzen, indem Sie den Jumper zum Löschen des CMOS setzen oder die CMOS-Batterie entfernen. Sie können auch weiterhin mit jedem anderen Computer auf die Festplatte zugreifen.
Dennis
4
Nein. Wenn jemand eine unverschlüsselte Festplatte von Ihrem Computer entfernt und diese mit einer eigenen Festplatte verbindet, kann er von der Festplatte lesen und darauf schreiben. Es ist wirklich egal, was Sie mit dem Rest des Computers machen.
Dennis
7
Bewahren Sie es in einem Safe auf.
Chris Nava
13
Wenn das Laufwerk verschlüsselt ist, ist es auch dann noch verschlüsselt, wenn das Laufwerk gestohlen wird. Sie verschlüsseln kein Speichergerät, um den Diebstahl des Speichergeräts zu verhindern.
Ramhound
2
Auch wenn Sie die Option "Wiederherstellungsmodus" nicht anzeigen, haben Sie dennoch Zugriff auf die grubKonsole. Wenn Sie nicht möchten, dass ein Außenstehender Zugriff auf die Grub-Konsole hat, sollten Sie ein Passwort fürgrub
Carlos Campderrós 18.10.12
6

Wenn jemand Ihre Maschine berühren kann, kann er einsteigen.

Am einfachsten ist es, Linux auf ein USB-Laufwerk zu laden und vom USB-Stick zu booten. Voila, Sie können das native Dateisystem anzeigen und die gewünschten Änderungen vornehmen.

HayekSplosives
quelle
3

Das root-Passwort kann immer geändert werden. Es kann immer passieren, dass jemand es vergessen hat. Sie benötigen physischen Zugriff auf den Server (oder Konsolenzugriff bei Virtualisierung), um in den GRUB-Wiederherstellungsmodus zu wechseln. Wenn Sie also bereits dort sind, können Sie auch den gesamten Server / Desktop verwenden, um die Festplatte herauszunehmen und etwas Forensik darauf durchzuführen. Sicherheitstechnisch spielt es keine Rolle.

Sie können Ihre Disc jederzeit verschlüsseln, wenn Sie zusätzliche Sicherheit wünschen. Das wird die Genesung erheblich erschweren.

Jeroen
quelle
2

Für Grub 1 mache folgendes:

  1. Öffnen Sie eine Befehlszeile und geben Sie als root grub-md5-crypt ein

  2. Sie werden nach einem Passwort gefragt und nachdem Sie Ihr Passwort bestätigt haben, sehen Sie einen Hashwert, den Sie in die Zwischenablage kopieren

  3. Öffnen Sie den Editor Ihrer Wahl, bearbeiten Sie ihn /boot/grub/menu.lstund fügen Sie ihn in die erste Zeile ein:

    password --md5 "Hashvalue"
    
  4. Sichern Sie die Datei. Der Hashwert ist derjenige, den Sie aus dem Befehl grub-md5-sum erhalten

Für grub2 gibt es ein Werkzeug , das Ihnen Setup diese leichter lässt http://sourceforge.net/projects/grubpass/ geben Sie nach der Installation einfach:

  1. grubpassin die Shell als root-Benutzer. Das Programm ist so ziemlich selbsterklärend.

Die beste Möglichkeit, Ihre Daten vor diesem Zugriff zu schützen, ist die Verwendung der vollständigen Festplattenverschlüsselung.

l1zard
quelle