Singel USER Mode per passwort schützen ???
Singel USER Mode per passwort schützen ???
hallo,
wer kann mir sagen wie ich mein system "etwas" schützen kann,
ich möchte das beim versuch das system im singe-modus zu booten ein passwort abgefragt wird
wenn möglich soll das password vom root aus der /etc/passwd gelesen werden
und ein "schutz" gegen die bootmeglichkeit per diskette, da ja die bios-passwörter im
pc-bios welchen herstellers auch immer ja nicht sonderlich gesichert sind !!!
ich will einfach verindern, das jemand an die /etc/passwd kommen kann und diese manipulieren ?!?!?!?!
danke dennis
wer kann mir sagen wie ich mein system "etwas" schützen kann,
ich möchte das beim versuch das system im singe-modus zu booten ein passwort abgefragt wird
wenn möglich soll das password vom root aus der /etc/passwd gelesen werden
und ein "schutz" gegen die bootmeglichkeit per diskette, da ja die bios-passwörter im
pc-bios welchen herstellers auch immer ja nicht sonderlich gesichert sind !!!
ich will einfach verindern, das jemand an die /etc/passwd kommen kann und diese manipulieren ?!?!?!?!
danke dennis
Re: Singel USER Mode per passwort schützen ???
Erstmal beim LILO anfangen: Für Deine Linux-Einträge in der Datei /etc/lilo.conf
die Einträge "password=<MeinPasswort>" und "restricted" hinzufügen. Das Passwort wird dann von LILO abgefragt, aber nur, wenn man an den Namen den zu ladenden Images noch irgendwelche Parameter hängen will (wie 1, single, root=/dev/hda, ...). Problem: Das Passwort steht dann im Klartext in der /etc/lilo.conf, und es ist nicht das root-Passwort. Ansonsten gibt es das programm sulogin (single user login), was genau für solche Zwecke verwendet werden kann, also nicht einfach eine Shell beim Wechsel in den single user mode aufmachen, sondern sulogin verwenden. Wo Du das allerdings eintragen musst, ist von Distro zu Distro verschieden. Gute Ansatzpunkte wären /etc/rc.d/rc1.d (RedHat, Mandrake u.a.) bzw. das entsprechende Verzsichnis unter /sbin bei SuSE.
die Einträge "password=<MeinPasswort>" und "restricted" hinzufügen. Das Passwort wird dann von LILO abgefragt, aber nur, wenn man an den Namen den zu ladenden Images noch irgendwelche Parameter hängen will (wie 1, single, root=/dev/hda, ...). Problem: Das Passwort steht dann im Klartext in der /etc/lilo.conf, und es ist nicht das root-Passwort. Ansonsten gibt es das programm sulogin (single user login), was genau für solche Zwecke verwendet werden kann, also nicht einfach eine Shell beim Wechsel in den single user mode aufmachen, sondern sulogin verwenden. Wo Du das allerdings eintragen musst, ist von Distro zu Distro verschieden. Gute Ansatzpunkte wären /etc/rc.d/rc1.d (RedHat, Mandrake u.a.) bzw. das entsprechende Verzsichnis unter /sbin bei SuSE.
Re: Singel USER Mode per passwort schützen ???
Ach, ich vergass: Alles, was man im BIOS einstellen kann, um die Bootmöglichkeit von der Floppy zu nehmen (Bootreihenfolge, Floppy austragen, Floppy Controller deaktivieren), kann man auch wieder zurücksetzen, wenn man das BIOS-Passwort hat. Wenn Dir das zu unsicher ist, hilft nur Abklemmen des Floppy-Kabels. Und selbst das ist nicht sicher, wenn man den Rechner öffnen kann...
Re: Singel USER Mode per passwort schützen ???
In dem Fall hilft nur ein sicheres Bios, das kein Universalpasswort hat oder den Floppyadapter zuzukleben mit Heißkleber.
Es müsste aber Mainboards geben, die sicher sind und ein anständiges Bios haben.
Muss es geben, denn Rechner des Militärs müssen ja auch gesichert werden ...
Allerdings sind rechner gegen anriffe auf die Hardware nicht richtig geschützt wie man in allen Sicherheits - Büchern lesen kann.
Vielleicht findest du was.
Michael
Es müsste aber Mainboards geben, die sicher sind und ein anständiges Bios haben.
Muss es geben, denn Rechner des Militärs müssen ja auch gesichert werden ...
Allerdings sind rechner gegen anriffe auf die Hardware nicht richtig geschützt wie man in allen Sicherheits - Büchern lesen kann.
Vielleicht findest du was.
Michael
Re: Singel USER Mode per passwort schützen ???
> In dem Fall hilft nur ein sicheres Bios,
> das kein Universalpasswort hat oder den
> Floppyadapter zuzukleben mit Heißkleber.
In diesem Fall könnteest du immer noch einfach die Festplatte ausbauen ... Es ist ganz schön knifflich richtigen Datenschutz zu betreiben ... <img src="http://www.pro-linux.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
Greetz ... Stephan !
> das kein Universalpasswort hat oder den
> Floppyadapter zuzukleben mit Heißkleber.
In diesem Fall könnteest du immer noch einfach die Festplatte ausbauen ... Es ist ganz schön knifflich richtigen Datenschutz zu betreiben ... <img src="http://www.pro-linux.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
Greetz ... Stephan !
Re: Singel USER Mode per passwort schützen ???
> Es ist ganz schön knifflich richtigen Datenschutz zu betreiben ...
Jau. Und bei physikalischem Zugriff auf den Rechner gibt es nur noch wenig Möglichkeiten, sicher zu werden... CryptoFS würde mir da noch am ehesten einfallen. Ist aber meines Wissens nach nicht für's root-Filesystem zu verwenden.
Jau. Und bei physikalischem Zugriff auf den Rechner gibt es nur noch wenig Möglichkeiten, sicher zu werden... CryptoFS würde mir da noch am ehesten einfallen. Ist aber meines Wissens nach nicht für's root-Filesystem zu verwenden.
Re: Singel USER Mode per passwort schützen ???
DANKE für die TIPS !!!
aber d.h. ich kann nichts dagegen machen denn einer an den pc rankommt
das er ihn mit STRG+ALT+ENTF rebootet und dann dem lilo den single modus
aufzwingt
meine /etc/passwd editiert und ... dann sich volle root rechte verschafft ???
oder kann man weginstens die STRG+ALT+ENTF sperren ???
danke
dennis
aber d.h. ich kann nichts dagegen machen denn einer an den pc rankommt
das er ihn mit STRG+ALT+ENTF rebootet und dann dem lilo den single modus
aufzwingt
meine /etc/passwd editiert und ... dann sich volle root rechte verschafft ???
oder kann man weginstens die STRG+ALT+ENTF sperren ???
danke
dennis
Re: Singel USER Mode per passwort schützen ???
Hi!
Den Affengriff kannst du ganz einfach sperren.
Einfach als root in die Datei /etc/inittab und den Eintrag "ca::ctrlaltdel:....." auskommentieren. Anschließend noch ein "init q" und ausprobieren...
Den Affengriff kannst du ganz einfach sperren.
Einfach als root in die Datei /etc/inittab und den Eintrag "ca::ctrlaltdel:....." auskommentieren. Anschließend noch ein "init q" und ausprobieren...
Gruß
Eddie
Eddie
Re: Singel USER Mode per passwort schützen ???
Dann sollte man allerdings auch den "Magic SysRq-Key" deaktiviert haben... Siehe /usr/src/linux/Documentation/sysrq.txt
Falls im Kernel aktiviert (Kernel Hacking/Magic SysRq key) und nicht mittels "echo 0 > /proc/sys/kernel/sysrq" ausgeschaltet, kann man mittels ...
<font face="Courier New">
<Alt>-<Druck>-e # SIGTERM an alle Prozesse ausser init
<i>... 5 sek. warten ...</i>
<Alt>-<Druck>-i # SIGKILL an alle Prozesse ausser init
<Alt>-<Druck>-s # Syncen aller Dateisysteme,
<Alt>-<Druck>-s # zur Sicherheit zweimal
<Alt>-<Druck>-u # Read-Only-Remount aller Dateisysteme
<Alt>-<Druck>-b # Sofortiger Reboot des Systems
</font><!--fixed-->
... das System recht geordnet runter zwingen und neu booten. Aber das Single-User-Booten lässt sich ja trotzdem mittels passwort= und restrichted ind /etc/lilo.conf verhindern, ne?
Falls im Kernel aktiviert (Kernel Hacking/Magic SysRq key) und nicht mittels "echo 0 > /proc/sys/kernel/sysrq" ausgeschaltet, kann man mittels ...
<font face="Courier New">
<Alt>-<Druck>-e # SIGTERM an alle Prozesse ausser init
<i>... 5 sek. warten ...</i>
<Alt>-<Druck>-i # SIGKILL an alle Prozesse ausser init
<Alt>-<Druck>-s # Syncen aller Dateisysteme,
<Alt>-<Druck>-s # zur Sicherheit zweimal
<Alt>-<Druck>-u # Read-Only-Remount aller Dateisysteme
<Alt>-<Druck>-b # Sofortiger Reboot des Systems
</font><!--fixed-->
... das System recht geordnet runter zwingen und neu booten. Aber das Single-User-Booten lässt sich ja trotzdem mittels passwort= und restrichted ind /etc/lilo.conf verhindern, ne?
Re: Singel USER Mode per passwort schützen ???
Stephan, wie wär's, wenn Du Deinen Kurztipp noch darum erweiterst?