Sichern von FreeBSD im Einzelbenutzermodus

6

Mir wurde gezeigt, dass ein FreeBSD-System im Einzelbenutzermodus ohne das root-Passwort leicht zugänglich ist. Mit dem Befehl passwd kann jeder Benutzer mit physischem Zugriff auf das System das Kennwort für root ändern. Gibt es eine Möglichkeit, dies zu verhindern? Bevor ich das lernte, wurde mir gesagt, dass BSD-Systeme sicher sind, aber jetzt bin ich nicht so sicher.

freebsd Der BSD-Typ
quelle
1
Wirklich lustig, ich werde diese Frage als Favorit bezeichnen, damit ich später ein bisschen lachen kann!
Alexus
Ich sehe nicht, was lustig ist
Der BSD-
Wahrscheinlich findet er es "lustig", weil jeder mit physischem Zugriff auf eine unverschlüsselte Maschine booten kann, was immer er will, und ohne Einschränkungen auf die Rohdaten der Maschine zugreifen kann.
Chris S

Antworten:

10

Sie müssen lediglich Änderungen /etc/ttysvornehmen, um im Einzelbenutzermodus zur Eingabe eines Kennworts aufzufordern. Beachten Sie jedoch, dass jeder Benutzer mit physischem Zugriff auf das Gerät Ihre Daten weiterhin auf verschiedene Arten abrufen kann.

Sie werden eine Zeile finden, die wie folgt aussieht, die durch Tabulatoren getrennt ist /etc/ttys:

Konsole keine unbekannt aus sicher

Ändern Sie den sicheren Teil in unsicher (sehr verwirrend, ich weiß), damit die Zeile wie folgt aussieht:

Konsole keine unbekannt aus unsicher

Nach dem Neustart und dem Aufrufen des Einzelbenutzermodus werden Sie aufgefordert, ein Kennwort einzugeben, um zur Shell-Eingabeaufforderung zu gelangen.

Dies ist , was die FreeBSD Jungs über das Wort sagen unsicher in /etc/ttys:

Hinweis: Eine unsichere Konsole bedeutet, dass Sie Ihre physische Sicherheit für die Konsole als unsicher betrachten und sicherstellen möchten, dass nur Personen, die das Root-Kennwort kennen, den Einzelbenutzermodus verwenden können. Dies bedeutet nicht, dass Sie Ihre Konsole ausführen möchten unsicher. Wenn Sie also Sicherheit wünschen, wählen Sie Unsicher, nicht Sicher.

John T
quelle
5

Jedes System, auf das physisch zugegriffen werden kann, kann unsicher sein. Selbst wenn Ihr installiertes Betriebssystem sicher ist, könnte theoretisch jemand eine Live-Festplatte verwenden, um Sicherheitseinstellungen zu bearbeiten, Kennwörter zurückzusetzen oder einfach Daten herauszuholen.

Ich nehme an, Sie müssen den USB- und CD-Boot deaktivieren und das BIOS sperren, um absolut sicher zu sein. Und selbst dann könnte immer jemand die Festplatte herausnehmen.

Ich hoffe ich mache dich nicht zu paranoid;)

Geselle Geek
quelle
2 
echo 'password=SuperPasswordHere' >> /boot/loader.conf.local

Es wird erzwungen, nach einem Passwort zu fragen, bevor in den Einzelbenutzermodus gewechselt wird

PS Achten Sie auf FreeBSD-9, wenn Sie dies verwenden. Jemand hat dies ein bisschen kaputt gemacht, aber der Fehlerbericht und die Lösung zur Fehlerbehebung wurden bereits an GNAT gemeldet. Sehen Sie es hier, PR: 170110

wie man diese Funktionalität auf FreeBSD-9 zurückbringt, das seit Jahrzehnten funktioniert.

Ohne dieses Update wird der Computer nicht mehr gestartet und wartet auf ein Kennwort

Alex
quelle
1

Erhöhen Sie die physische Sicherheit.

briealeida
quelle
siehe Kommentar oben bitte
Der BSD-
Die, die du geschrieben hast, nachdem ich geantwortet habe? Oh ok. Cool.
Briealeida