Root-salasanan vaihdosta on ollut täällä ennenkin juttua mutta en nyt löytänyt mitään juuri tästä hommasta joten :
Annoin itselleni kertoa että kuka hyvänsä käyttäjä voi muuttaa root-salasanan (ja saada täten Admin -oikeudet) boottaamalla single user modeen, mounttaamalla filesystemin read / writenä ja sen jälkeen passwd [adminin tunnus] ja uusi password.
En ole itse mikään unixguru joten voisiko joku vahvistaa pitääkö tämä paikkansa? Tuntuis vaan jotenkin omituiselta jos se noin iisisti käy, mihin niitä passwordeja tarvitaan jos ne kuka hyvänsä voi vaihtaa..?
Root-salasanan vaihto single user modessa
-
matteus/2
- Viestit: 4403
- Liittynyt: 3.1.2005 klo 14.37
-
Jamac
- Viestit: 18040
- Liittynyt: 20.2.2004 klo 23.12
- Paikkakunta: Tampere
Re: Root-salasanan vaihto single user modessa
En tiedä meneekö se noin, mutta pitää paikkansa.
Noh, kysymys on vähän yhtäpataa sen kysymyksen kanssa, että koska kovalevyissä ei ole minkäänlaista sisäänrakennettua tietoturvaa tai oikeuksia, niin laittamalla kovalevyn vaikka Linux-koneeseen pystyt lukemaan kaiken mahdollisen ko. levystä (sopivalla ohjelmalla). Hakemistojen ja tiedostojen oikeudet katoaa siinä vaiheessa kun käyttis ei ko. oikeuksia halua tai pysty noudattamaan. Ainoastaan jos levylle kirjoitettu tieto on kryptattu, niin vieraassa järjestelmässä dataa ei sitten ihan hevillä lueta. Ei se auta mitään että "tiedoston kyljessä" lukee jotta "ei saa avata" ellei käyttis ko. komentoa usko.
Eli jos kunnollista tietoturvaa halutaan missä tahansa systeemissä, niin ensimmäinen asia on se, että käyttöjärjestelmää ei saa pystyä sammuttamaan, koska käyttöjärjestelmä valvoo oikeuksia. Toinen on se, että levyjä ei saa irroitettua. Sitten se, että ulkoisia levyjä/diskettejä ei saa laitettua.
Noh, kysymys on vähän yhtäpataa sen kysymyksen kanssa, että koska kovalevyissä ei ole minkäänlaista sisäänrakennettua tietoturvaa tai oikeuksia, niin laittamalla kovalevyn vaikka Linux-koneeseen pystyt lukemaan kaiken mahdollisen ko. levystä (sopivalla ohjelmalla). Hakemistojen ja tiedostojen oikeudet katoaa siinä vaiheessa kun käyttis ei ko. oikeuksia halua tai pysty noudattamaan. Ainoastaan jos levylle kirjoitettu tieto on kryptattu, niin vieraassa järjestelmässä dataa ei sitten ihan hevillä lueta. Ei se auta mitään että "tiedoston kyljessä" lukee jotta "ei saa avata" ellei käyttis ko. komentoa usko.
Eli jos kunnollista tietoturvaa halutaan missä tahansa systeemissä, niin ensimmäinen asia on se, että käyttöjärjestelmää ei saa pystyä sammuttamaan, koska käyttöjärjestelmä valvoo oikeuksia. Toinen on se, että levyjä ei saa irroitettua. Sitten se, että ulkoisia levyjä/diskettejä ei saa laitettua.
Alihankintana printtipuolen graafista materiaalia!
-
matteus/2
- Viestit: 4403
- Liittynyt: 3.1.2005 klo 14.37
Re: Root-salasanan vaihto single user modessa
Juu näinhän se on, en vaan uskonut että se ihan noin helposti kävisi. Mutta kuten sanottua en tiedä millaiset tietoturvakäytännöt yleensä ovat. Noh, pitäähän tuo salasana silti ainakin haittaohjelmat kurissa kun ne ei osaa bootata single user modeen ja instata itteään ![[:)]](./images/smilies/icon_smile.gif "Hymy")
Ja onhan tosiaan tuo FileVault jos nyt oikeen paranoidiksi haluaa heittäytyä - vai saako senkin salasanan vaihdettua tietämättä alkuperäistä salasanaa?
Ja onhan tosiaan tuo FileVault jos nyt oikeen paranoidiksi haluaa heittäytyä - vai saako senkin salasanan vaihdettua tietämättä alkuperäistä salasanaa?
3-6-9
-
Jamac
- Viestit: 18040
- Liittynyt: 20.2.2004 klo 23.12
- Paikkakunta: Tampere
Re: Root-salasanan vaihto single user modessa
En tiedä tosta FileVaultista, todennäköisesti ei saa. Enkä tiedä tosta enempää, mutta mitä noita kryptauksia olen hiukan silmäillyt weppiasioita varten, niin nehän on ovelia juttuja siten, että salasanaa ei tarvitse tallentaa minnekään, mutta ilman oikeaa salasanaa ei kryptausta saa auki.
Hyvä esimerkki tosta aikaisemmasta muuten on esim DiskWarrior softa, se ei pysty korjaamaan levyä mistä on buutattu, koska kernel ei anna siihen lupaa. Mutta kun buuttaat DiskWarriorin CD:ltä, niin käyttis ei enää olekaan valvomassa levyn lukua ja kirjoitusta ja homma onnistuu oli sitten levyn oikeudet mitä tahansa.
Itseasiassa tästä ajatusketjusta tulee taas mieleen aiemmin keskusteltu topikki missä pähkäiltiin jonkin USB-tikkuviritelmän käyttöä jollainlailla tietoturvaasioissa. Edelleen kovasti epäilyttää...
Hyvä esimerkki tosta aikaisemmasta muuten on esim DiskWarrior softa, se ei pysty korjaamaan levyä mistä on buutattu, koska kernel ei anna siihen lupaa. Mutta kun buuttaat DiskWarriorin CD:ltä, niin käyttis ei enää olekaan valvomassa levyn lukua ja kirjoitusta ja homma onnistuu oli sitten levyn oikeudet mitä tahansa.
Itseasiassa tästä ajatusketjusta tulee taas mieleen aiemmin keskusteltu topikki missä pähkäiltiin jonkin USB-tikkuviritelmän käyttöä jollainlailla tietoturvaasioissa. Edelleen kovasti epäilyttää...
Alihankintana printtipuolen graafista materiaalia!
-
NOx
- Viestit: 2631
- Liittynyt: 12.4.2004 klo 3.34
Re: Root-salasanan vaihto single user modessa
Jälleen kerran vastaus löytyy Mac Helpistä. Lyhennetty versio: unohda sekä master password ja omasi, et saa ikinä tiedostojasi takaisin eikä Apple voi auttaa.matteus/2 kirjoitti:Ja onhan tosiaan tuo FileVault jos nyt oikeen paranoidiksi haluaa heittäytyä - vai saako senkin salasanan vaihdettua tietämättä alkuperäistä salasanaa?
com.apple.Dont_Steal_Mac_OS_X
-
PeTe
- Viestit: 273
- Liittynyt: 10.3.2004 klo 15.46
- Paikkakunta: Kirkkonummi
Re: Root-salasanan vaihto single user modessa
Totta, single user mode on eräänlainen fail-safe bootti, jolloin yleensä käynnistetään minimi-palvelut ja logataan sisään roottina. Huomattavan hyödyllinen, kun on sotkenut jotain käynnistysfilejä, tai jokin startissa käynnistyvä softa jumittaa. Tai kun salasanat on unohtuneet.
Mutta haittapuolena tuo selkeä tietoturva-reikä. Solaris esim. nykyisellään kysyy oletuksena rootin salasanaa, ennen kuin päästää sisälle.
Tuon ja kaikki muut turvattomuudet, kuten CD-boot, target-mode boot etc. voi laittaa monessa MACissä salasanan taakse: docs.info.apple.com/article.html?artnum=106482
Kannattaa huomata varoitukset, joiden mukaan tuolla voi rikkoa koneensa.
Samaisessa artikkelissa tosin näytetään annnettavan ohjeet siihe, miten tämäkin suojaus kierretään.
Ainoa todellinen suojaushan on rajoittaa pääsy koneelle.
Ilman kryptausta oikeastaan mikään käyttis ei ole täysin turvassa, jos koneeseen pääsee fyysisesti käsiksi.
Mutta haittapuolena tuo selkeä tietoturva-reikä. Solaris esim. nykyisellään kysyy oletuksena rootin salasanaa, ennen kuin päästää sisälle.
Tuon ja kaikki muut turvattomuudet, kuten CD-boot, target-mode boot etc. voi laittaa monessa MACissä salasanan taakse: docs.info.apple.com/article.html?artnum=106482
Kannattaa huomata varoitukset, joiden mukaan tuolla voi rikkoa koneensa.
Samaisessa artikkelissa tosin näytetään annnettavan ohjeet siihe, miten tämäkin suojaus kierretään.
Ainoa todellinen suojaushan on rajoittaa pääsy koneelle.
Ilman kryptausta oikeastaan mikään käyttis ei ole täysin turvassa, jos koneeseen pääsee fyysisesti käsiksi.
--
PeTe
PeTe
-
matteus/2
- Viestit: 4403
- Liittynyt: 3.1.2005 klo 14.37
Re: Root-salasanan vaihto single user modessa
Jeps, kiitoksia kaikille valaisevista vastauksista!
3-6-9
-
deep
- Viestit: 337
- Liittynyt: 10.12.2004 klo 13.06
- Paikkakunta: Turku
Re: Root-salasanan vaihto single user modessa
Jep, jos haluat tehdä turvallisen järjestelmän ainut vaihtoehto on asentaa kone kassakaappiin. Muussa tapauksessa levyt ovat aina luettavissa, tietysti levyjen kryptaus ainakin hidastaa tiedon saantia. Ja tämä pätee niin maceihin, PC-rautaan kuin esim. ciscon reitittimiin. Luultavasti kaikkiin järjestelmiin.PeTe kirjoitti: Ainoa todellinen suojaushan on rajoittaa pääsy koneelle.
Ilman kryptausta oikeastaan mikään käyttis ei ole täysin turvassa, jos koneeseen pääsee fyysisesti käsiksi.
iB12" 1.2 G4 | MM1,66 CD | MB2,2 C2D
