ubuntu unsicher??

[heady]

ich hab vor kurzem meinen nvidia graka modul compiliert...
ich bin dazu in den ersten runlevel gegangen, indem ich im grub die dementsprechenden kernelparameter gesetzt habe...

als der rechner dann hochgefahren war, kam ich auf eine konsole mit root rechten ohne mich jemals vorher angemeldet zu haben...wie kann das sein???

und wie kann man das abstellen?? da kann ja jeder einbrechen und alles kaputt machen...

 

[supersucker]

als der rechner dann hochgefahren war, kam ich auf eine konsole mit root rechten ohne mich jemals vorher angemeldet zu haben...wie kann das sein???

was meinst du denn mit root-rechten? das du als root angemeldet ohne irgendwas gemacht zu haben? das glaub ich mal eher nicht.
oder meinst du das du sachen machen konntest als user die nur root machen darf?

bei ubuntu ist per default das root konto nicht aktiviert, administrative sachen werden per sudo gemacht, siehe man sudo.
wenn dir das nicht gefällt musst du dir halt das root-konto freischalten.

bin mir allerdings sicher das du was falsch verstanden hast und du nach dem booten von ubuntu NICHT als root angemeldet warst ohne was explizit zu machen.

und wie kann man das abstellen?? da kann ja jeder einbrechen und alles kaputt machen...

ohne verschlüsseltes dateisystem und mit physikalischem zugang zum rechner und einer beliebigen live-cd kann das jeder.

 

[Xanti]

was meinst du denn mit root-rechten? das du als root angemeldet ohne irgendwas gemacht zu haben? das glaub ich mal eher nicht.
...

Sicher geht das. Wie man das abstellt, kann man z.B. hier nachlesen.

ohne verschlüsseltes dateisystem und mit physikalischem zugang zum rechner und einer beliebigen live-cd kann das jeder.

Einfach "CD booten" im Bios deaktivieren und Bios durch Passwort sichern. Es gibt zwar heute immer noch die Möglichkeit, durch nen Jumper auf dem MB das Passwort zu löschen, aber das fällt unter security by obscurity.

 

[sono]

Wenn man Seine Platten per cryptsetup verschlüsselt und dann beim booten ein Falsches pwd angibt ist man auch in einer root shell.

Dat ist auch etwas bescheiden.

 

[finfirun]

Also ein bios-pw is so sicher wie ein stück brot, da es für jedes BIOS zigtausend standard-pws gibt.

Wenn man Seine Platten per cryptsetup verschlüsselt und dann beim booten ein Falsches pwd angibt ist man auch in einer root shell.

Dat ist auch etwas bescheiden.

man ist auch in einer "root"-shell wenn beim booten die pladden zu viele fehler haben, dann landet man aber zumin in einem read-only filesys, was ja nich so das sicherheitsrisiko darstellt ( ich glaube kaum das jmd noch klartext-pws in /etc/passwd nutzt Oo)

 

[Wolfgang]

Hallo

Jeder, der physikalischen Zutritt zu dem PC hat, kann über den Bootmanager das System als root starten.
Wenn du das verhindern willst, solltest du schon beim Booten ein gutes Passwort verwenden.
Trotzdem bedeutet physikalischer Zugriff letztenendes immer möglichen Zugriff!

Weitere Hinweise zum Sichermachen:
Hier

Gruß Wolfgang

 

[ChrisMD]

Wenn man erstmal Zugriff zum PC hat ist doch sowieso Sense.
Wenn man halt nicht direkt drankommt kann man ja immernoch die Platte ausbauen
Man kann ja immernoch per LiveCD an die Daten ran. Da brauch man auch nicht das Passwort.
Da hilft wahrscheinlich nur Verschlüsseln.

 

[supersucker]

Einfach "CD booten" im Bios deaktivieren und Bios durch Passwort sichern. Es gibt zwar heute immer noch die Möglichkeit, durch nen Jumper auf dem MB das Passwort zu löschen, aber das fällt unter security by obscurity.

oder einfach die bios-batterie rausnehmen, 5 sekunden warten, wieder reinstecken und das bios-passwort landet im nirvana....:-)

 

[heady]

aber es wird einem angreifer ziemlich leicht gemacht...das ist schon irgendwie ein wenig dumm...ein grub passwort...ja sollte ich vielleicht setzen...

 

[theton]

Ein Angriff auf einen Rechner findet meist remote statt und dort ist nunmal keinerlei Zugriff auf den Boot-Vorgang moeglich, das wollte ich nur mal so anmerken.
Wenn jemand an deinen Rechner physikalisch ran kann um den im Runlevel 1 zu booten, kann er auch die Platte ausbauen, dein BIOS wechseln, Hardware-Keylogger in deine Tastatur einbauen oder deine Netzwerkkarte durch eine mit "Erweiterungen" austauschen. Du siehst also, dass es absolut unmoeglich ist, deine Daten vor jemandem zu schuetzen der physikalischen Zugriff zu deinem Rechner hat. Selbst die tollste verschluesselte Platte und das beste Boot-Passwort bringt nichts, wenn in deiner Tastatur ein Hardware-Keylogger deine Passwoerter mitloggt.
Oder willst du mir ernsthaft erzaehlen, dass du, nur um "sicher" zu sein, vor jedem Booten erstmal deinen ganzen Rechner in Einzelteile zerlegst um sicherzustellen, dass nichts eingebaut wurde, was deine Passwoerter loggt?

 

[sono]

( ich glaube kaum das jmd noch klartext-pws in /etc/passwd nutzt Oo)

Hm, abgesehen von Bruteforce gibt es Terrabyte große Hashdatenbanken mit denenen man einen großen Teil der Passwörter bis zu einer bestimmten Länge relativ schnell "knacken" kann.

Aber Sicherheit ist angesichts von Knoppix und chroot so oder so relativ.

 

[Wolfgang]

Hallo

Hm, abgesehen von Bruteforce gibt es Terrabyte große Hashdatenbanken mit denenen man einen großen Teil der Passwörter bis zu einer bestimmten Länge relativ schnell "knacken" kann.

Aber Sicherheit ist angesichts von Knoppix und chroot so oder so relativ.

Wie lange willst du denn sowas laufen lassen?
Monate? Jahre?
Wer sowas nutzen will, braucht sehr lange ungestörten Zugriff zu diesem System.
Und wer diesen hat, der findet viel einfachere Methoden.
Entscheidend ist, einen remote Angriff zu verhindern, bzw. abzuwehren.
Darauf sollte man sich konzentrieren.

Gruß Wolfgang

 

[heady]

das ist mir klar, dass es viele andere möglichkeiten gibt, an meine daten ranzukommen und zu zerstören etc...
naja ich will mal sagen, wer an meinen rechner kommt braucht nur die grub config manuel editieren und hochfahren...schon drin...

das geht immerhin schneller als ein knoppix hochzufahren, festplatte ausbauen oder sonstiges...

edit:
noch eine letzte frage, ist das nur bei ubuntu, oder gibt es sowas bei anderen distributionen auch??

 

[sono]

Wie lange willst du denn sowas laufen lassen?
Monate? Jahre?

Hm überlegen wir mal wie lange das dauert:

Mit Rootrechten pwd Hash auslesen sollte selbst ein Linux Neuling in ein paar 10 Sekunden hinbekommen.

Hashdatenbankabfrage nach Cleatextpasswort sollte selbst mit einem etwas besseren Standartcomputer in ein paar Sekunden klappen.
Also knapp unter ner Minute würde das dauern.

Du glaubst doch nicht dass jemand der es drauf anlegt jedes Passwort einzelln knackt, ok vielleicht Scriptkiddies oder ganz krasse Megahackör die schon 3 mal das Blackbock gelesen haben. Leute mit etwas mehr Erfahrung auf dem Gebiet haben wie schon ewähnt Giga bis Terrabyt große Hashdatenbanken.

Gehashte Passwörter bis 8 Zeichen hast du so selbst wenn Sie noch so verstümmelt und Sinnlos sind mit Standarthwardware in kürzester Zeit geknackt.

Wozu sollte man denn bitte vorm Rechner warten wenn man den Hash schon ausgelesen hat.