recovery mode ja tietoturva

[future]

Hoksasin et grupin käynnistys valikosta jos valitsee recovery moden, niin se antaa rootin oikeudet kelle tahansa. Mitäs tälle pitäs tehdä?

[janne]

Hoksasin et grupin käynnistys valikosta jos valitsee recovery moden, niin se antaa rootin oikeudet kelle tahansa. Mitäs tälle pitäs tehdä?

vaihtoehdot ovat:
1) olla välittämättä (menettelee kotikoneella, koska ilman kryptattua kiintolevyä koneeseen käsiksi pääseminen mahdollistaa joka tapauksessa täydet oikeudet esim. live-cd:n avulla)
2) asettaa grubiin salasana esim. HOWTO-alueen ohjeen mukaan
3) asettaa rootin salasana (ubuntussa mielestäni enimmäkseen huono idea)

[future]

asettaa rootin salasana (ubuntussa mielestäni enimmäkseen huono idea)

Olin kyllä kokeillut asettaa rootille salasanan, mutta se ei silti sitä kysy.


Joo tuon livecd ongelman voi ilmeisesti poistaa biosin asetuksien avulla. estämällä koneen käynnistämisen muistitikuilta ja cd/dvd asemilta.

Voinko karsia tuon recovery mode vaihtoehdon kokonaan pois grubin valikosta. Seuraako tästä jotain ikävää?

Entä onko ubuntun kanssa jotain keinoa käyttää jotain kovalevyn cryptaus juttua?

[Tuplanolla]

Voinko karsia tuon recovery mode vaihtoehdon kokonaan pois grubin valikosta. Seuraako tästä jotain ikävää?

No ei muuta kuin sen ettei pääse recovery modeen enää.

[janne]

asettaa rootin salasana (ubuntussa mielestäni enimmäkseen huono idea)

Olin kyllä kokeillut asettaa rootille salasanan, mutta se ei silti sitä kysy.

edelleen painota, että tuo rikkoo aika pahasti ubuntun tapaa hoitaa hommia. tietty jos tietää varmuudella mitä on tekemässä niin kai niinkin saa tehdä, mutta jos tällaista joutuu kyselemään...

Joo tuon livecd ongelman voi ilmeisesti poistaa biosin asetuksien avulla. estämällä koneen käynnistämisen muistitikuilta ja cd/dvd asemilta.

jos koneeseen pääsee fyysisesti käsiksi niin bios on varsin triviaali resetoida, kiintolevy on hellpo irroittaa ja liittää toiseen koneeseen, jne.

Voinko karsia tuon recovery mode vaihtoehdon kokonaan pois grubin valikosta. Seuraako tästä jotain ikävää?

no siitä seuraa se ikävä vaihtoehto, että recovery modea ei ole enää suoraan valittavissa jos päivitys epäonnistuu eikä kone boottaa kunnolla.

tuo ei sitä paitsi oikeasti ratkaise mitään, sillä grubille voi antaa parametreja joilla kone boottaa single user modeen (tunnetaan ubuntu aloittelijoiden keskuudessa myös recovery modena) mistä tahansa valinnasta.

käytännössä siis tuon vaihtoehdon poistaminen monimutkaistaa asioita oikealla asialla olevalle käyttäjälle mutta ei oikeasti suojaa mitään.

Entä onko ubuntun kanssa jotain keinoa käyttää jotain kovalevyn cryptaus juttua?

on, mutta kotikäytössä en viitsisi viritellä moista sillä se myös luonnollisesti hidastaa koneen käyttämistä.

niin mikähän vika siinä ilmeisimmässä tavassa oli?
siis siinä jossa grubin parametrien muuttaminen ja "recovery mode" ovat salasanan takana?

[future]

ok. käsitin väärin. Olis varmaan pitänyt mennä saman tien lukemaan se HOWTO. Eli se siis suojaa sen recovery modeen pääsyn salasanalla. Eihän tässä mitään ongelmaa sitten ole.

Joo tietoinen olen biosin resetoinnista. Se kuitenkin useimmiten vaatii sen koneen avaamisen.

Rootille oli jo määritetty jokin salasana ja menin sit vaihtamaan sen. Olenko tehnyt pahankin virheen?

Mut joo kiitoksia kovasti. eiköhän näillä taas eteenpäin.

[janne]

Rootille oli jo määritetty jokin salasana ja menin sit vaihtamaan sen. Olenko tehnyt pahankin virheen?

et sinä varsinaisesti mitään kummoista virhettä ole tehnyt. rootilla voi olla salasana ja monissa distroissa näin onkin. se ei estä sudon toimintaa, mutta se pitää mahdollisesti ottaa erikseen huomioon joissain tilanteissa. ubuntun yleinen tapa on hoitaa kaikki ylläpito sudon ja sitä kautta saatavien oikeuksien avulla ja oikeasti se kyllä toimiikin. itse en ole rootin tunnusta kaivannut enää aikoihin.