Linux에서 관리자의 비밀번호를 변경할 수있는 이유는 무엇입니까?

며칠 전 내 친구 인 친구가 내 비밀번호를 알려주지 않아도 리눅스를 사용할 수 있다는 것을 보여주고 싶었습니다.

그는 GRUB에 들어가서 복구 모드 옵션을 선택했습니다. 내 첫 번째 문제는 그가 이미 내 파일에 액세스 할 수 있다는 것입니다 (읽기 전용). 그는 암호를 시도했지만 실패했습니다. 그런 다음 그는 일종의 다시 마운트 (필자가 그에게 쓰기 권한을 부여 한 것 같음)를 한 후 내 비밀번호를 변경할 수있었습니다.

왜 이것이 가능합니까? 나는 개인적으로 보안 문제를 봅니다. 내가 일하는 곳에서 리눅스를 사용하는 사람들이 여러 명 있는데 BIOS 암호 세트 나 다른 종류의 보안 벽이 없습니다.

암호는 외부 (네트워크, 인터넷)로부터의 액세스를 막기위한 것이며 암호를 달성합니다. 그러나 물리적 액세스는 루트 액세스입니다.

전체 파티션을 암호화하지 않는 한 항상 광 디스크 또는 플래시 드라이브에서 부팅하여 모든 파일에 액세스 할 수 있습니다. 이 방법으로 사용자 암호를 저장하는 파일을 수정할 수도 있습니다.

그러나 원하는 복구 모드를 비활성화하도록 선택할 수 있습니다. 단계 :

1. /etc/default/grub텍스트 편집기에서 열기 (루트 권한으로)

2. 다음 행을 주석 해제 / 추가하십시오.

   GRUB_DISABLE_RECOVERY="true"
   

3. 변경 사항을 저장하고 다음 명령을 실행하십시오.

   sudo update-grub
   

누군가가 실제로 기계를 만질 수 있으면 들어갈 수 있습니다.

가장 쉬운 방법은 USB 드라이브에 리눅스를로드하고 USB 스틱에서 부팅하는 것입니다. Voila, 기본 파일 시스템을보고 원하는대로 변경할 수 있습니다.

항상 루트 비밀번호를 변경할 수 있습니다. 누군가가 그것을 잊었을 때 항상 일어날 수 있습니다. GRUB 복구 모드로 들어가려면 서버에 대한 물리적 액세스 (또는 가상화 된 경우 콘솔 액세스)가 필요하므로 이미 서버가있는 경우 전체 서버 / 데스크톱을 사용하여 HDD를 꺼내고 법의학을 수행 할 수 있습니다. 안전면에서는별로 중요하지 않습니다.

추가 보안이 필요한 경우 언제든지 디스크를 암호화 할 수 있습니다. 복구가 훨씬 더 어려워 질 것입니다.

GRUB 1의 경우 다음을 수행하십시오.

1. 명령 행을 열고 루트 grub-md5-crypt 로 입력하십시오.

2. 비밀번호를 묻는 메시지가 표시되고 비밀번호를 확인하면 클립 보드에 복사 한 해시 값이 표시됩니다

3. 선택한 편집기를 열고 편집 /boot/grub/menu.lst하여 첫 번째 행에 추가하십시오.

   password --md5 "Hashvalue"
   

4. 파일을 보호하십시오. 해시 값은 grub-md5-sum 명령에서 얻은 값입니다.

grub2의 경우 http://sourceforge.net/projects/grubpass/를 보다 쉽게 ​​설정할 수있는 도구가 있습니다 .

1. grubpass루트 사용자로 쉘에. 이 프로그램은 거의 자명하다.

그러나 이러한 종류의 액세스로부터 데이터를 보호하는 가장 좋은 방법은 전체 디스크 암호화를 사용하는 것입니다.