Kirjoittaja Aihe: Grub ja root  (Luettu 5787 kertaa)

Aksu

  • Käyttäjä
  • Viestejä: 84
    • Profiili
Grub ja root
« : 09.08.05 - klo:16.35 »
Tuli tässä mieleeni, että onko tämä normaalia Ubuntun käytöstä:

Buuttasin koneen ja painoin järjestelmän käynnistyessä itseni escillä grubiin, josta valitsin recovery modeen. Ennen pitkää olinkin sitten komentorivillä rootin oikeuksilla antamatta mitään tunnuksia tai salasanoja.

Miten tuo vaikuttaa Ubuntun tietoturvaan, jos kuka tahansa pääsee grubin kautta roottina sisälle?

Vai olenkohan taas ymmärtänyt jotain väärin...
Sekakäyttäjä - Mac, Ubuntu ja Windows.

Ninnnu

  • Käyttäjä
  • Viestejä: 247
  • LinuCaster
    • Profiili
Re: Grub ja root
« Vastaus #1 : 09.08.05 - klo:17.16 »
Tämä johtuu siitä, ettei rootilla ole salasanaa, sehän on mainittu  moneen kertaan...

janne

  • Käyttäjä
  • Viestejä: 5150
    • Profiili
Re: Grub ja root
« Vastaus #2 : 09.08.05 - klo:18.45 »
Tämä johtuu siitä, ettei rootilla ole salasanaa, sehän on mainittu  moneen kertaan...

tai siitä, että grubissa ei ole salasanaa ja grubun menuun on laitettu oletuksena tuo single user mode. tuohon modeen pääsee grubista kyllä vaikka siinä ei olisikaan sitä menuvaihtoehtoa. tuota voisi tietysti vaikeuttaa, mutta periaatteessa jos käyttäjällä on pääsy ihan siihen koneen ääreen, niin hänellä on mahdollisuus lukea koneen levyltä mitä tahansa käyttöjärjestelmästä riippumatta olettaen tietysti, että levyjä ei ole kryptattu.

jos mieltä rauhoittaa, niin voihan tuon vaihtoehdon poistaa/kommentoida grubista kokonaan.

Janne

Aksu

  • Käyttäjä
  • Viestejä: 84
    • Profiili
Re: Grub ja root
« Vastaus #3 : 09.08.05 - klo:18.59 »

tai siitä, että grubissa ei ole salasanaa ja grubun menuun on laitettu oletuksena tuo single user mode. tuohon modeen pääsee grubista kyllä vaikka siinä ei olisikaan sitä menuvaihtoehtoa. tuota voisi tietysti vaikeuttaa, mutta periaatteessa jos käyttäjällä on pääsy ihan siihen koneen ääreen, niin hänellä on mahdollisuus lukea koneen levyltä mitä tahansa käyttöjärjestelmästä riippumatta olettaen tietysti, että levyjä ei ole kryptattu.

jos mieltä rauhoittaa, niin voihan tuon vaihtoehdon poistaa/kommentoida grubista kokonaan.


Ok. Hyvä tietää, että tuo on ominaisuus. Luulin, että olin saanut tämän jotenkin sekaisin. Eikä se mua haittaa lainkaan. On ihan hyvä, että tuota kautta pääsee helposti kirjautumaan roottina (nyt kun sen tiedän).

Tää Ubuntun suomalainen keskusteluryhmä ja tuo ircci-kanava ovat kyllä mainioita kanavia tän Ubuntun ja Linuxin käytön opetteluun. Kyllähän mä ne manuaalitkin jossain vaiheessa luen (kun aikaa löytyy), mutta näin uutena käyttäjänä sitä vaan haluaa nopeasti järjestelmän toimimaan juuri oikealla tavalla, eikä silloin riitä kärsivällisyyttä manuaalien lukemiseen. Varsinkaan kun ei tässä vaiheessa oikein vielä tiedä, että mistä mikin löytyy!

 :)  :D  ;D
Sekakäyttäjä - Mac, Ubuntu ja Windows.

janne

  • Käyttäjä
  • Viestejä: 5150
    • Profiili
Re: Grub ja root
« Vastaus #4 : 09.08.05 - klo:19.24 »
Ok. Hyvä tietää, että tuo on ominaisuus. Luulin, että olin saanut tämän jotenkin sekaisin. Eikä se mua haittaa lainkaan. On ihan hyvä, että tuota kautta pääsee helposti kirjautumaan roottina (nyt kun sen tiedän).

no, ehkä minä olin viime viestissä vähän kyyninen asian suhteen. jos koneen fyysinen turvallisuus ei ole taattu, ei datankaan ole, mutta kyllähän tuolta voi joku poropeukalo vahingossakin sisään kirjautua, ja vieläpä rootin oikeuksin :(

homaa saa kyllä ainakin hiukan turvallisemmaksi, jos niin haluaa tehdä. se voi tapahtua vaikkapa näin...

tee seuraaavat toimenpiteet rootin oikeuksin, joko sudolla tai konsolista jossa on rootin oikeudet

komenna:
Koodia: [Valitse]
# grub-md5-crypt
anna salasana ja ota talteen ohjelman tulostama "merkkisotku"

avaa valitsemassasi tekstieditorissa tiedosto: /boot/grub/menu.lst

etsi kohta jossa lukee:
Koodia: [Valitse]
## password ['--md5'] passwd
# If used in the first section of a menu file, disable all interactive editing
# control (menu entry editor and command-line)  and entries protected by the
# command 'lock'
# e.g. password topsecret
#      password --md5 $1$gLhU0/$aW78kHK1QfV3P2b2znUoe/
# password topsecret

muuta viimeisen rivin tilalle rivi:
Koodia: [Valitse]
password --md5 <tähän se aikaisemmin tallettamasi sotku>
nyt sinulla on kaksi vaihtoehtoa...

voit joko poistaa recovery-vaihtoehdon kokonaan grubin menusta tai vaatia sen käyttämiseen aikaisemmin antamaasi salasanaa. vaikka poistaisitkin sen menusta, on sinulla silti mahdollisuus bootata single user modeen salasanasi avulla, mutta siitä myöhemmin.

jos haluat positaa valinnan kokonaan menusta, etsi kohta jossa lukee:
Koodia: [Valitse]
## should update-grub create alternative automagic boot options
## e.g. alternative=true
##      alternative=false
# alternative=true

muuta viimeinen rivi muotoon:
Koodia: [Valitse]
# alternative=false
muista jättää rivi kommentteihin (eli # rivin alkuun).

jos haluat jättää rivin grubin menuun, mutta vaatia salasanaa sen käyttämiseksi, etsi kohta jossa lukee:
Koodia: [Valitse]
## should update-grub lock alternative automagic boot options
## e.g. lockalternative=true
##      lockalternative=false
# lockalternative=false

muuta viimeinen rivi muotoon:
Koodia: [Valitse]
# lockalternative=true
muutosten jälkeen tallenna tiedosto.

aja vielä lopuksi komento:
Koodia: [Valitse]
# update-grub
valmiita ollaan :) nyt vain boottaamaan.

grubin menussa voit tarkistaa, että valinta recovery modesta puuttuu tai, että sitä ei voi käyttää ilman salasanaa. kokeile sitten painaa kirjainta p ja antaa salasana.

jos jätit menuun recovery moden, sen pitäisi nyt toimia.

jos et jättänyt, pitäisi sinun pystyä editoimaan komentojen rivejä. päästäksesi tässä tapauksessa single user modeen, sinun pitää valita normaali ubuntu käynnistysvalinta ja painaan e editoidaksesi sen parametreja. mene tämän jälkeen riville joka alkaa sanalla kernel ja valitse uudelleen e. kirjoita loppuun välilyönti ja sana single. paina enteriä ja boottaa valinta painamalla b. päädyt samaan tilanteeseen kuin recovery moden kautta, mutta täysin vihjeetön ei tähän välttämättä pysty vaikka onnistuisikin arvaamaan salasanan.


Tää Ubuntun suomalainen keskusteluryhmä ja tuo ircci-kanava ovat kyllä mainioita kanavia tän Ubuntun ja Linuxin käytön opetteluun. Kyllähän mä ne manuaalitkin jossain vaiheessa luen (kun aikaa löytyy), mutta näin uutena käyttäjänä sitä vaan haluaa nopeasti järjestelmän toimimaan juuri oikealla tavalla, eikä silloin riitä kärsivällisyyttä manuaalien lukemiseen. Varsinkaan kun ei tässä vaiheessa oikein vielä tiedä, että mistä mikin löytyy!

juu, ubuntuguide on myös erinomainen ubuntun alotteluun ja jossain vaiheessa kannattaa tarkistaa myös nyyssien puolelta usenetin ryhmät sfnet.atk.linux, sfnet.atk.linux.asennus ja mahdollisesti myös afnet.atk.linux.palvelimet ;)
Janne

Aksu

  • Käyttäjä
  • Viestejä: 84
    • Profiili
Re: Grub ja root
« Vastaus #5 : 09.08.05 - klo:19.45 »
Kiitos vinkeistä. Mä kopsasin tuon root-ohjeen talteen, jos ja kun tästä haluaa tehdä jossain vaiheessa varmemman järjestelmän.

Sekakäyttäjä - Mac, Ubuntu ja Windows.