ทำไมมันเป็นไปได้ที่จะเปลี่ยนรหัสผ่านของผู้ใช้ผู้ดูแลระบบบน linux?


25

ไม่กี่วันที่ผ่านมาเพื่อนของฉันต้องการแสดงให้ฉันเห็นว่าเขาสามารถใช้ linux ของฉันได้แม้ว่าฉันจะไม่บอกรหัสผ่านให้เขาก็ตาม

เขาเข้าสู่ GRUB เลือกตัวเลือกโหมดการกู้คืน ปัญหาแรกของฉันคือเขาเข้าถึงไฟล์ของฉันแล้ว (อ่านอย่างเดียว) เขาพยายามทำ passwd แต่ล้มเหลว จากนั้นเขาก็ทำการติดตั้งใหม่ (ฉันเดาว่าให้สิทธิ์การเขียนแก่เขา) และหลังจากนั้นเขาก็สามารถเปลี่ยนรหัสผ่านของฉันได้

ทำไมเป็นไปได้ ฉันเองเห็นว่ามันเป็นปัญหาด้านความปลอดภัย ที่ทำงานฉันมีหลายคนที่ใช้ linux และพวกเขาไม่มีรหัสผ่าน BIOS หรือชุดความปลอดภัยอื่น ๆ


24
การทำเช่นนี้จะต้องมีการเข้าถึงเครื่องคอมพิวเตอร์ แนบเนียนถ้าคุณใช้ TrueCrypt หรือคล้ายกันถ้าฉันมีการเข้าถึงคอมพิวเตอร์ของคุณฉันอาจได้รับข้อมูลของคุณไม่ทางใดก็ทางหนึ่ง
Zac B

10
นี่ไม่ใช่เฉพาะสำหรับ Linux ด้วยการเข้าถึงทางกายภาพคุณสามารถทำเช่นเดียวกันใน Windows, OSX หรือระบบปฏิบัติการใด ๆ ก็ได้ หนึ่งในเหตุผลที่ฉันเห็นว่าเป็นเช่นนี้ก็คือผู้ดูแลระบบสามารถลืมรหัสผ่านของเขาและต้องการวิธีในการเข้าสู่ระบบ
เรนต์

แม้ว่าคุณจะไม่สามารถล็อกออนเข้าสู่ระบบปฏิบัติการที่ติดตั้งบนฮาร์ดไดรฟ์คุณก็สามารถบู๊ตไฟล์ liveUSB และติดตั้งระบบไฟล์และอ่านไฟล์ทั้งหมดได้ คุณสามารถเข้ารหัสโฮมไดเร็กตอรี่ของคุณได้ตลอดเวลา, distros จำนวนมากมีตัวเลือกสำหรับการติดตั้ง ที่จะปกป้องข้อมูลส่วนใหญ่จากการอ่าน (แม้ว่ามันจะไม่หยุดมันจะถูกลบ)
naught101

3
ด้วยไขควงนี้สามารถทำเพื่ออะไรมากที่สุด ...
SAMB

คำตอบ:


43

รหัสผ่านมีไว้เพื่อป้องกันการเข้าถึงจากภายนอก (เครือข่ายอินเทอร์เน็ต) และพวกเขาก็ทำสำเร็จ อย่างไรก็ตามการเข้าถึงทางกายภาพคือการเข้าถึงรูท

หากคุณไม่เข้ารหัสพาร์ติชันทั้งหมดของคุณคุณสามารถบูตจากแผ่นดิสก์ออปติคัลหรือแฟลชไดรฟ์และเข้าถึงไฟล์ทั้งหมดของคุณได้ตลอดเวลา วิธีนี้คุณสามารถแก้ไขไฟล์ที่เก็บรหัสผ่านของผู้ใช้

อย่างไรก็ตามคุณสามารถเลือกที่จะปิดการใช้งานโหมดการกู้คืนที่คุณต้องการ ขั้นตอน:

  1. เปิด/etc/default/grubในเท็กซ์เอดิเตอร์ (ที่มีสิทธิ์ใช้งานรูท)

  2. ไม่ใส่เครื่องหมายข้อคิดเห็น / เพิ่มบรรทัดบรรทัดต่อไปนี้:

    GRUB_DISABLE_RECOVERY="true"
    
  3. บันทึกการเปลี่ยนแปลงและรันคำสั่งต่อไปนี้:

    sudo update-grub
    

4
การปิดใช้งานรหัสผ่าน BIOS จะใช้เวลานานขึ้นเล็กน้อย คุณสามารถรีเซ็ตได้โดยตั้งจัมเปอร์Clear CMOSหรือถอดแบตเตอรี่ CMOS นอกจากนี้คุณยังสามารถเข้าถึงฮาร์ดไดรฟ์ในคอมพิวเตอร์เครื่องอื่น ๆ
เดนนิส

4
ไม่ได้ถ้ามีคนนำฮาร์ดไดรฟ์ที่ไม่ได้เข้ารหัสออกจากคอมพิวเตอร์ของคุณและเชื่อมต่อกับหนึ่งในนั้นเองเขาสามารถอ่านและเขียนลงในฮาร์ดไดรฟ์ได้ ไม่สำคัญว่าคุณจะทำอะไรกับคอมพิวเตอร์ส่วนที่เหลือ
เดนนิส

7
วางไว้ในที่ปลอดภัย
Chris Nava

13
หากไดรฟ์ได้รับการเข้ารหัสจะยังคงเข้ารหัสแม้ว่าไดรฟ์นั้นจะถูกขโมย คุณไม่เข้ารหัสอุปกรณ์เก็บข้อมูลเพื่อป้องกันการโจรกรรมอุปกรณ์จัดเก็บข้อมูล
Ramhound

2
แม้ว่าคุณจะไม่แสดงตัวเลือก 'โหมดการกู้คืน' คุณก็ยังสามารถเข้าถึงgrubคอนโซลได้ หากคุณไม่ต้องการให้บุคคลภายนอกสามารถเข้าถึงคอนโซลด้วงได้คุณควรใส่รหัสผ่านเพื่อgrub
Carlos Campderrós

6

หากใครบางคนสามารถสัมผัสเครื่องของคุณพวกเขาสามารถเข้า

วิธีที่ง่ายที่สุดโหลด linux บนไดรฟ์ usb และบูตจากแท่ง usb ใน Voila คุณสามารถดูระบบไฟล์ดั้งเดิมและทำการเปลี่ยนแปลงตามที่คุณต้องการ


3

จะสามารถเปลี่ยนรหัสผ่านรูทได้เสมอ มันสามารถเกิดขึ้นได้เสมอว่ามีคนลืมมัน คุณต้องมีการเข้าถึงเซิร์ฟเวอร์ (หรือการเข้าถึงคอนโซลเมื่อมีการจำลองเสมือน) เพื่อเข้าสู่โหมดการกู้คืน GRUB ดังนั้นเมื่อคุณอยู่ที่นั่นแล้วคุณสามารถใช้เซิร์ฟเวอร์ / เดสก์ท็อปทั้งหมดเพื่อดึง HDD ออกและทำการตรวจสอบนิติเวช ความปลอดภัยที่ชาญฉลาดมันไม่สำคัญมาก

คุณสามารถเข้ารหัสแผ่นดิสก์ของคุณได้ตลอดเวลาหากคุณต้องการความปลอดภัยเพิ่มเติม นั่นจะทำให้การกู้คืนยากขึ้น


2

สำหรับด้วง 1 ให้ทำดังนี้:

  1. เปิดบรรทัดคำสั่งและป้อนเป็น root grub-md5-crypt

  2. คุณกำลังถูกขอรหัสผ่านและหลังจากยืนยันรหัสผ่านของคุณคุณจะเห็นแฮชค่าที่คุณคัดลอกไปยังคลิปบอร์ด

  3. เปิดโปรแกรมแก้ไขที่คุณเลือกและแก้ไข/boot/grub/menu.lstและเพิ่มในบรรทัดแรก:

    password --md5 "Hashvalue"
    
  4. เซฟไฟล์ hashvalue คือสิ่งที่คุณได้รับจากคำสั่ง grub-md5-sum

สำหรับ grub2 มีเครื่องมือที่ให้คุณติดตั้งได้ง่ายขึ้นhttp://sourceforge.net/projects/grubpass/หลังจากติดตั้งเพียงแค่พิมพ์:

  1. grubpassลงในเชลล์ในฐานะผู้ใช้รูท โปรแกรมนี้ค่อนข้างอธิบายตนเอง

อย่างไรก็ตามวิธีที่ดีที่สุดในการปกป้องข้อมูลของคุณจากการเข้าถึงชนิดนี้คือการใช้การเข้ารหัสดิสก์แบบเต็ม

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.