[Linux-Biella] password root

[Marco Ermini]

Paul TT disse:
> Marco Ermini wrote:
>
>>Tanto giusto non e', se per recuperare un sistema deve smontare l'hard
>>disk :-)
>>
>>Comunque basta fare il boot con un qualsiasi altro CD che non sia SuSE
>>(tipo Knoppix, o il CD di RedHat) in modo da evitare queste menate
>>
>>
> e in questa oprazione, dove sta lo smontaggio dell'HD???

Infatti, nella mia non c'e'. Era lui che voleva smontare il disco e
metterlo su un'altra macchina...


> secondo me e' giusta la richiesta dell pwd. se passa un pischello
> qualunque, che riavvia ed entra come root... e' vero che puo portarsi
> via il disco, ma putacaso che sono una banca, presumibilmente mi e' piu'
> utile avere un account su quella macchina che averne il disco.

Si', certo ed i "pischelli qualunque" entrano nel CED di una banca e
riavviano i sistemi...

Guarda, quella in cui ti sei imbarcato e' una discussione vecchissima,
fatta per anni ed anni sui ng... che per tua cultura ti riassumo
brevemente ;-)

1) Se hai accesso fisicamente al sistema, presupponendo un HW "normale",
la tua password in single mode non serve a nulla, perche' basta fare il
boot da un floppy o da un CD per renderla inutile.

2) I pischelli NON hanno accesso ai CED *seri*. I CED e gli ISP "seri"
hanno dei sistemi di sorveglianza e di anti-intrusione *fisica* che si
accompagnano sempre ai sistemi di monitoraggio informatico; altrimenti,
questi secondi sono assolutamente inutili.

3) *TUTTE* le certificazioni di sicurezza, tutti i tool possibili di
auditing ecc. /presuppongono/ il NON accesso fisico alla macchina da parte
dell'eventuale sabotatore - un "hacker" per definizione e' una persona che
agisce *da remoto*. La certificazione di sistemi che prevedono una
protezione /anche fisica/ sono certificazioni UNICAMENTE di livello
militare, vanno dalla B1 (classificazione US Army) in su, e richiedono hw
particolare. Quindi NON si parla di normali PC con Linux :-)

4) Da tutto questo se ne deduce che la password in single mode e' solo una
complicazione inutile. E' quella classica "sicurezza del lica" come si
dice in Toscana, quella cosa che ti da' un'"idea" di sicurezza e quindi
contribuisce solo a far si' che tu alla sicurezza non ci pensi sul serio.



> puo' fare avvio da cd, dite? e se glielo tolgo??? senza richiesta di pwd
> in 3 minuti posso crearmi un' account utente = root , riavviare, e poi
> fare il cacchio che voglio dopo.

Anche con quella password. Basta fare il reboot - e non mi dire che hai
disattivato ctrl+alt+canc, perche' tanto esiste il tasto di reset, e se
non esiste stacco la spina :-) - e fare il boot con un CD. Il CD puo'
essere in formato card e stare in qualsiasi portafoglio...

Chi ha accesso fisico potra' SEMPRE fare quello che gli pare. Non esiste
password che tenga, anche quella del BIOS si disattiva molto facilmente
spostando un jumper sulla mobo...

Ripeto: non e' un caso se i CED stanno in locali chiusi ed in genere ci si
entra con una smartcard...


> questo anche l'omino delle pulizie
> potrebbe tranquillamente farlo senza che se ne accorga nessuno.

Certo, anche il mio gatto potrebbe farlo. Basterebbe addestrarlo... preme
il tasto sul CDROM, infila il CD, e resetta il computer... io da remoto ne
prendo il controllo... ci potrei riuscire :-)


good life
-- 
Marco Ermini
http://macchi.markoer.org