it-swarm-ja.com

シングルユーザーモードでのFreeBSDの保護

私は、FreeBSDシステムがrootパスワードなしでシングルユーザーモードで簡単にアクセスできることを示しました。 passwdコマンドを使用すると、システムに物理的にアクセスできない人は誰でもrootのパスワードを変更できます。これを防ぐ方法はありますか?これを学ぶ前に、bsdシステムは安全だと言われましたが、今はよくわかりません。

6
The BSD Guy

/etc/ttysを編集してシングルユーザーモードでパスワードの入力を求めるだけですが、マシンに物理的にアクセスできる人は誰でもさまざまな方法でデータを取得できることに注意してください。

/etc/ttysでタブ区切りされた次のような行が見つかります。

コンソールなし不明オフセキュア

secureの部分をinsecure(非常に紛らわしい、私は知っています)に変更して、行が次のようになるようにします。

コンソールなし不明オフ安全でない

再起動してシングルユーザーモードに入ると、シェルプロンプトにアクセスするためのパスワードの入力を求められます。

これは、FreeBSDの連中が/etc/ttysでWordinsecureを使用することについて言わなければならないことです。

注:コンソールが安全でないということは、コンソールに対する物理的なセキュリティが安全でないと見なし、rootパスワードを知っている人だけがシングルユーザーモードを使用できるようにしたいということです。コンソールを安全に実行したくないこと。したがって、セキュリティが必要な場合は、安全ではなく安全でないを選択してください。

10
John T

物理的にアクセス可能なシステムは、安全でない可能性があります。インストールされているOSが安全であっても、理論上、誰かがライブディスクを使用してセキュリティ設定を編集したり、パスワードをリセットしたり、単にデータを取り出したりする可能性があります。

完全に安全にするには、USBとCDブートを無効にし、BIOSをロックする必要があると思います。そしてそれでも誰かがいつでもHDDを取り出すことができました。

私はあなたをあまり妄想的にしないことを願っています;)

5
Journeyman Geek
echo 'password=SuperPasswordHere' >> /boot/loader.conf.local

シングルユーザーモードにジャンプする前に、パスワードの入力を強制されます

P.S。これを使用する場合は、FreeBSD-9に注意してください。誰かがこれを少し壊しましたが、バグレポートと修正ソリューションはすでにGNATに報告されています。こちらをご覧ください PR:17011

この機能を何十年も機能するFreeBSD-9に戻す方法。

この修正がないと、コンピューターは起動を停止し、パスワードを待ちます

2
Alex

物理的なセキュリティを強化します。

1
briealeida