nixp.ru v3.0

24 мая 2017,
среда,
20:43:26 MSK

DevOps с компанией «Флант»
AVCH написал 27 ноября 2006 года в 16:43 (602 просмотра) Ведет себя неопределенно; открыл 1 тему в форуме, оставил 3 комментария на сайте.

В режиме failsafe после загрузки и ввода команды su, Mandriva 2005-2006 не требует ввода пароля, любой юзер может стереть всё. Подскажите как закрыть эту дыру?

Anarchist

А на 3-ем ините он себя как ведёт?

В каком режиме (как) ставилась ОС?

Пароль рута задан?

Antern

в конфиге загрузчика убрать failsafe =)))

Anarchist
AVCH
Подскажите как закрыть эту дыру?

Ну вот… :(((

Была такая возможность пнуть меня. И никому не хватило эрудиции ей воспользоваться.

Мандрюк, если вспомнить генеалогическое древо, ЕМНИП ведёт происхождение от SV.

Далее — RTFM на предмет сути различных init’ов в SV.

По сути: на первом su быть вообще не должно!

Необходимо и достаточно, чтобы при переходе на этот уровень запрашивался пароль (делалось не всегда и не везде, что есть неправильно). Всё!

ЗЫ: Кто ещё сомневается в необходимости первоочередного изучения классики?!?

AVCH

Linux ставил в локальной сети с локального ftp-сервера, загрузка с дискеты, пароль root задан, зачем 3-й инит?

В Mandrake Linux 9.1 пароль спрашивашивался, а позже — нет, значит где-то есть такой параметр.

Уберу в Lilo этот пункт, но всё же… :(

palp
AVCH
Linux ставил в локальной сети с локального ftp-сервера, загрузка с дискеты, пароль root задан, зачем 3-й инит?

В Mandrake Linux 9.1 пароль спрашивашивался, а позже — нет, значит где-то есть такой параметр.

Уберу в Lilo этот пункт, но всё же… :(

Помоему его все равно можно вручную задать

fly4life
palp
Помоему его все равно можно вручную задать

Угу. А ещё можно загрузиться напрямую в шелл. Тут, помимо удаления секции из lilo, надо ещё запаролить возможность передавать параметры из строки загрузчика (комбинация опций 'restrict' и 'password’). Хотя… если так всё критично с этим failsafe, то надо ограничивать физический доступ к машине (а-то обязательно найдётся умелец с live-cd наперевес, который «всё сотрёт»).

Dr. Evil

чтобы избежать НСД, надо устанавливать на компьютер спец. средства: соболь, аккорд,…

как еще один вариант — поставить более современный дистрибутив, в котором даже для входа в failsafe необходимо вводить пароль root.

fly4life
Dr. Evil
чтобы избежать НСД, надо устанавливать на компьютер спец. средства: соболь, аккорд,…

… и двух мальчиков, ростом выше среднего.

Dr. Evil
как еще один вариант — поставить более современный дистрибутив, в котором даже для входа в failsafe необходимо вводить пароль root.

Но всё равно остаётся возможность загрузки в шелл ;).

Dr. Evil
fly4life
… и двух мальчиков, ростом выше среднего.

в спортивных костюмах с оттянутыми коленками….

fly4life
Но всё равно остаётся возможность загрузки в шелл ;).

да!? надо попробывать на твоем компьютере :-Р

вообще, млин, кругом враги!

Anarchist
AVCH
Linux ставил в локальной сети с локального ftp-сервера, загрузка с дискеты, пароль root задан, зачем 3-й инит?

При RTFM на предмет сути уровней запуска в System V!!!

Dr. Evil
как еще один вариант — поставить более современный дистрибутив, в котором даже для входа в failsafe необходимо вводить пароль root.

1. От LiveCD не спасёт.

2. Возможно с незапамятных времён. Ныне лишь предусмотрели в станавливаемой конфигурации.

Anarchist
Dr. Evil
вообще, млин, кругом враги!

Угу.

И паранойи много не бывает!

AVCH

Я нашёл один способ:

:idea: Через webmin в настройках Lilo можна установить пароль на каждый способ загрузки. webmin передает команду lilo с разными параметрами.

Может кто знает как пользоваться lilo для установки пароль из shell. (Или толковую документацию по lilo на русском желательно)?

fly4life
AVCH
Я нашёл один способ:

:idea: Через webmin в настройках Lilo можна установить пароль на каждый способ загрузки.  webmin передает команду lilo  с разными параметрами.

Может кто знает как пользоваться lilo для установки пароль из shell. (Или толковую документацию по  lilo на русском желательно)?

А если повнятней рассказать, чего надо-то?

AVCH

Какой ключ нужен команде lilo для установки пароля на загрузку?Или како файл настройки изменить?

Uncle Theodore
AVCH
Какой ключ нужен команде lilo для установки пароля на загрузку?Или како файл настройки изменить?

Нужно внимательно почитать вывод команды

man lilo.conf

Тебя интересуют вот эти опции

password=

Protect the `image=' or `other=' with a password (or

passphrase). It may be specified as a global option. The

interpretation of the `password=' setting is modified by the

words `mandatory’, `restricted’, and `bypass' (see below).

The password may be specified in the config-file (less secure)

or entered at the time the boot loader is installed. To request

interactive entry of the password, it should be specified: pass-

word="». Passwords entered interactively are not required to be

entered again if the boot installer is re-run. They are cached,

in hashed form, in a companion file to the config-file, default

name: /etc/lilo.conf.crc. If the config-file is updated, a warn-

ing message will be issued telling you to re-run lilo -p to

force re-creation of the password cache file.

mandatory

A password is required to boot this image. This is the default.

May be used on a single `image=' or `other=' to override a dif-

ferent global setting.

restricted

A password is only required to boot the image if kernel parame-

ters are specified on the command line (e.g. ’single’). May be

used on a single `image=' or `other=' to override a different

global setting.

bypass No password is required to boot this image. Used to indicate

that the global password does not apply to this `image=' or

`other=’.

Это где-то с 840й строки мануала. Если хочешь, могу перевести. Грубо говоря, можно установить пароль на отдельный образ или глобально. Пароль можно записать в конфиг или ввести с командной строки. Можно сделать так, чтобы пароль спрашивали всегда или только при загрузке в single-моду или с другими параметрами.

Все это делается редактированием файла /etc/lilo.conf послу чего надо прогнать команду lilo

Good Luck,

UT