¿Por qué es posible cambiar la contraseña de un usuario administrador en Linux?

25

Hace unos días, un amigo mío, quería mostrarme que puede usar mi Linux incluso si no le digo mi contraseña.

Entró en GRUB, seleccionó la opción de modo de recuperación. Mi primer problema es que él ya tenía acceso a mis archivos (solo lectura). Intentó hacer passwd pero falló. Luego hizo algún tipo de montaje (supongo que eso le dio derechos de escritura) y después de eso pudo cambiar mi contraseña.

¿Por qué es esto posible? Personalmente lo veo como un problema de seguridad. Donde trabajo, hay varias personas que usan Linux y ninguno de ellos tiene una contraseña de BIOS establecida o algún otro tipo de muro de seguridad.

Ilea Cristian
fuente
24
Hacer esto requiere acceso físico a la computadora. Siendo realistas, a menos que use TrueCrypt o similar, si tengo acceso físico a su computadora, probablemente pueda obtener sus datos de una manera u otra.
Zac B
10
Esto no es específico de Linux. Con acceso físico, puede hacer lo mismo en Windows, OSX o probablemente en cualquier sistema operativo. Una de las razones por las que puedo ver que es así es que un administrador siempre puede olvidar su contraseña y necesita una forma de ingresar al sistema.
Laurent
Incluso si no puede iniciar sesión en el sistema operativo instalado en el disco duro, simplemente puede iniciar una distribución liveUSB y montar los sistemas de archivos y leer todos los archivos. Sin embargo, siempre puede cifrar su directorio de inicio, muchas distribuciones tienen una opción para hacerlo en la instalación. Eso protegerá la mayoría de los datos de ser leídos. (aunque no evitará que se borre)
nada101
3
Con un destornillador, esto se puede hacer con casi cualquier cosa ...
SamB

Respuestas:

43

Las contraseñas están destinadas a evitar el acceso desde el exterior (red, internet), y lo logran. Sin embargo, el acceso físico es acceso raíz.

A menos que esté encriptando toda su partición, siempre es posible arrancar desde un disco óptico o una unidad flash y obtener acceso a todos sus archivos. De esta manera, también puede modificar los archivos que almacenan las contraseñas de los usuarios.

Sin embargo, puede optar por desactivar el modo de recuperación que desee. Pasos:

  1. Abrir /etc/default/gruben un editor de texto (con privilegios de root)

  2. Descomente / agregue la línea siguiente línea:

    GRUB_DISABLE_RECOVERY="true"
    
  3. Guarde los cambios y ejecute el siguiente comando:

    sudo update-grub
    
Dennis
fuente
44
Deshabilitar la contraseña del BIOS solo lleva un poco más de tiempo. Puede restablecer configurando el puente Clear CMOS o quitando la batería CMOS. Además, aún puede acceder al disco duro en cualquier otra computadora.
Dennis
44
No. Si alguien extrae un disco duro no cifrado de su computadora y lo conecta a uno de los suyos, puede leer y escribir en el disco duro. Realmente no importa lo que le hagas al resto de la computadora.
Dennis
77
Ponlo en una caja fuerte.
Chris Nava
13
Si la unidad está encriptada, todavía está encriptada incluso si la unidad es robada. No encripta un dispositivo de almacenamiento para evitar el robo del dispositivo de almacenamiento.
Ramhound
2
Incluso si no muestra la opción 'modo de recuperación', aún tiene acceso a la grubconsola. Si no desea que un extraño tenga acceso a la consola grub, debe poner una contraseña paragrub
Carlos Campderrós
6

Si alguien puede tocar físicamente su máquina, puede entrar.

La forma más fácil, cargue Linux en una unidad USB y arranque desde el dispositivo USB. Voila, puede ver el sistema de archivos nativo y hacer los cambios que desee.

HayekSplosivos
fuente
3

Siempre será posible cambiar la contraseña de root. Siempre puede suceder que alguien lo haya olvidado. Necesita acceso físico al servidor (o acceso a la consola cuando está virtualizado) para ingresar al modo de recuperación de GRUB, por lo que cuando ya esté allí, también puede tomar todo el servidor / escritorio para extraer el HDD y hacer algunos análisis forenses. En cuanto a la seguridad, no importa mucho.

Siempre puede encriptar su disco si desea seguridad adicional. Eso hará que la recuperación sea mucho más difícil.

Jeroen
fuente
2

Para grub 1 haga lo siguiente:

  1. Abra una línea de comando e ingrese como root grub-md5-crypt

  2. Se le solicita una contraseña y, después de confirmarla, verá un valor hash que copiará al portapapeles.

  3. Abra el editor de su elección y edite /boot/grub/menu.lsty agregue a la primera línea:

    password --md5 "Hashvalue"
    
  4. Safe el archivo. El valor hash es el que obtiene del comando grub-md5-sum

Para grub2 hay una herramienta que le permite configurar esto más fácilmente http://sourceforge.net/projects/grubpass/ Después de instalar simplemente escriba:

  1. grubpassen el shell como usuario root. El programa se explica por sí solo.

Sin embargo, la mejor manera de proteger sus datos de este tipo de acceso es utilizar el cifrado de disco completo.

l1zard
fuente