Компьютерный форум NoWa.cc

Компьютерный форум NoWa.cc (https://nowa.cc/index.php)
-   UNIX, Linux, MacOs для PC и другие ОС (https://nowa.cc/forumdisplay.php?f=17)
-   -   Защита и безопасность Linux систем (https://nowa.cc/showthread.php?t=182068)

xhacker 21.09.2008 15:36
Защита и безопасность Linux систем
 
Защита загрузчика паролем

Для того, чтобы не дать злоумышленнику использовать single user mode (режим, в котором можно сменить root пароль), необходимо защитить загрузчик паролем.

Если у Вас Grub

Если у Вас Lilo

Ограничение доступа к консоли

 С помощью файла /etc/securetty можно указать, с каких терминальных устройств (tty) можно входить в систему администратору.
Рекомендуется закомментировать все строки, кроме vc/1 (если у вас devfs), или кроме tty1 (если у вас udev). Благодаря этому суперпользователь сможет входить в систему одновременно только один раз и только с одного терминала.

Код:
/etc/securetty

(для devfs)
vc/1
(для udev)
tty1

pluton 21.09.2008 16:43
Re: Защита и безопасность Linux систем
 
Цитата:
Сообщение от xhacker (Сообщение 1895140)
Защита загрузчика паролем
это, конечно, хорошо, но плюс к этому надо запретить загрузку с флешек и дисков. а то загрузятся с лайв-сд и всё :)
для этого в биосе ставим загрузку с хдд, и пароль на биос. а, если при загрузке есть возможность показа меню загрузки (на некоторых компах для этого надо нажать F1[0-2] ), то придётся ставить пасс на загрузку компа

DoubleSpace 22.09.2008 12:11
Re: Защита и безопасность Linux систем
 
Если есть физический доступ к компу-сбросить пароль на bios-вопрос одной минуты. При отсутствии специального, секурного железа-вопрос окончательно не решается

Тинькофф 27.09.2008 00:52
Re: Защита и безопасность Linux систем
 
Цитата:
Сообщение от pluton (Сообщение 1895234)
это, конечно, хорошо, но плюс к этому надо запретить загрузку с флешек и дисков. а то загрузятся с лайв-сд и всё :)
для этого в биосе ставим загрузку с хдд, и пароль на биос. а, если при загрузке есть возможность показа меню загрузки (на некоторых компах для этого надо нажать F1[0-2] ), то придётся ставить пасс на загрузку компа
А кто мешает разместить все данные на зашифрованном разделе? Все современные релизы Linux поддерживают LUXS, cryptoloop и проч. Ну даже если загрузочный том незашифрован, данные расшифровать будет практически невозможно.

RomanGA 27.09.2008 17:28
Re: Защита и безопасность Linux систем
 
А работа с данными на зашифрованном разделе такая же? Не будет тормозов и трудностей? Например если скинуть туда фотографии, а потом захочется их посмотреть?

0ut 29.09.2008 14:30
Re: Защита и безопасность Linux систем
 
:) нет тормазов не будет) разницы на первый взгляд не почуствуешь, все работает прозрачно для пользователя...

sh_ 20.11.2008 10:46
Re: Защита и безопасность Linux систем
 
single user mode можно вообще отключить. только это не панацея. защита она такая - только в комплексе.

1 этап защитить физически железо. - отдельная комната, вход по пропускам, дизельгенератор на потерю электричекства..
2 этап защитить диск от похищения - шифрованая файловая система, шифрование данных на уровне ядра.

было много публикаций на эту тему. смысл в том что для ядра пишется модуль, реализующий ГОСТ шифование. закрытые ключи хранятся на дискете. при загрузке сервера вставляешь дискету и вперед.

3. собственно защита от взлома - тут se linux и иже с ними

pa4ka 21.11.2008 17:32
Re: Защита и безопасность Linux систем
 
Цитата:
Сообщение от DoubleSpace (Сообщение 1896633)
Если есть физический доступ к компу-сбросить пароль на bios-вопрос одной минуты. При отсутствии специального, секурного железа-вопрос окончательно не решается
какого-такого секурного железа?
Господа, неужели не достаточно разместить сервер в помещении под замком, снять с него сидиром и отключить в биосе usb, сгенерить пароли и не оставлять их список где попало?

elijadar 23.03.2009 21:44
Re: Защита и безопасность Linux систем
 
Цитата:
Сообщение от pa4ka (Сообщение 2023399)
какого-такого секурного железа?
Господа, неужели не достаточно разместить сервер в помещении под замком, снять с него сидиром и отключить в биосе usb, сгенерить пароли и не оставлять их список где попало?
Секурное железо это прикольная штука. Например, флешка типа 'DiskGO Secure GUARDIAN' от 'EDGE Tech Corp' с апаратной криптованием "...encrypted data is completely erased after eight failed password attempts". А что там говорить о всяких там апаратных генераторах случайных чисел...

DoubleSpace 25.03.2009 17:46
Re: Защита и безопасность Linux систем
 
Цитата:
Сообщение от pa4ka (Сообщение 2023399)
какого-такого секурного железа?
В данном контексте подразумевалось- на котором нельзя обнулить CMOS легко.Или которое просто не позволяет загрузку с внешних носителей. В частности, попадались мамы с CMOS на микросборке от DALLAS, в которых обнуление отстутствовало как класс. а батарея была внутри.


Текущее время: 16:35. Часовой пояс GMT +3.

Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2026, vBulletin Solutions, Inc. Перевод: zCarot
Copyright ©2004 - 2026 NoWa.cc

Время генерации страницы 0.02874 секунды с 9 запросами