firewalker Δημοσ. 12 Σεπτεμβρίου 2006 Δημοσ. 12 Σεπτεμβρίου 2006 Αν θέλω να κάνω τα αρχεία μου (σε reiserfs) εντελώς προσωπικά γίνεται; Θέλω δηλαδή τα αρχεία να είναι προσβάσιμα μόνο από τον χρήστη που ανήκουν. Για παράδειγμα το ~/UserName να μην μπορεί να το ανοίξει ούτε ο root. Επίσης αν μπουτάρει κάποιος με άλλο σύστημα και έχει τον δίσκο να μην μπορεί να δει τα αρχεία. Υπάρχει κάποια επιλογή όταν φτιάχνουμε τον χρήστη; Και κάτι άλλο, τα passwords των user πόσο ασφαλή είναι. Μπορεί κάποιος να τα κάνει reset ή να τα βρει εύκολα;
apoikos Δημοσ. 12 Σεπτεμβρίου 2006 Δημοσ. 12 Σεπτεμβρίου 2006 Αν θέλω να κάνω τα αρχεία μου (σε reiserfs) εντελώς προσωπικά γίνεται; Θέλω δηλαδή τα αρχεία να είναι προσβάσιμα μόνο από τον χρήστη που ανήκουν. Για παράδειγμα το ~/UserName να μην μπορεί να το ανοίξει ούτε ο root. Αυτό δε γίνεται. Ο root μπορεί να ανοίξει τα πάντα. Μπορείς απλά να κρυπτογραφήσεις τα αρχεία που σε ενδιαφέρουν (π.χ. με το GnuPG), οπότε για να τα δει κάποιος θα πρέπει να έχει το κλειδί σου και να ξέρει και την passphrase. Επίσης αν μπουτάρει κάποιος με άλλο σύστημα και έχει τον δίσκο να μην μπορεί να δει τα αρχεία. Υπάρχει κάποια επιλογή όταν φτιάχνουμε τον χρήστη; Και κάτι άλλο, τα passwords των user πόσο ασφαλή είναι. Μπορεί κάποιος να τα κάνει reset ή να τα βρει εύκολα; Αυτό που θες είναι κρυπτογραφημένο root filesystem. Προστατεύεις το filesystem με ένα password, το οποίο χρησιμοποιείται ως μέρος του κλειδιού για την κρυπτογράφηση και αποκρυπτογράφησή του. Κάθε φορά που κάνεις mount το συγκεκριμένο partition, το σύστημα θα ζητάει την passphrase για να το ξεκλειδώσει. Τα passwords των χρηστών είναι όσο ασφαλή τα κάνουν οι χρήστες τους ;-) Δηλαδή, αν εγώ βάλω το password ίδιο με το username, προφανώς δεν είναι ασφαλές. Από 'κει και πέρα, κάποιος με root access στο μηχάνημα μπορεί να αλλάξει τα passwords, αλλά όχι να τα δει (βλέπει μόνο το hash, από το οποίο δεν μπορεί να βγάλει το αρχικό password). Επίσης, αν κάποιος έχει το σκληρό δίσκο και το root filesystem δεν είναι κρυπτογραφημένο, τότε μπορεί πάλι να κάνει reset όποιο password θέλει.
firewalker Δημοσ. 12 Σεπτεμβρίου 2006 Μέλος Δημοσ. 12 Σεπτεμβρίου 2006 Αυτό με κρυπτογραφημένο partition γίνεται όπως με τα αρχεία αλλά το εφαρμόζει σε όλο το partition; Επίσης είχα διαβάσει κάπου ότι υπάρχει μία εντολή που την δίνεις στην αρχή και δεν χρειάζεται password...
NullScan Δημοσ. 12 Σεπτεμβρίου 2006 Δημοσ. 12 Σεπτεμβρίου 2006 ... βλέπει μόνο το hash, από το οποίο δεν μπορεί να βγάλει το αρχικό password)... Αν δεν κάνω λάθος (γιατί δεν έχω πιεί καφέ ακόμα ) με συνδιασμό της εντολής unshadow και του john (John the Ripper) μπορεί κάποιος να αποκρυπτογραφήσει το hash από το αρχείο /etc/shadow Είμαι σχεδόν σίγουρος ότι θυμάμαι κάποιες γωνιές του internet που κάποτε γίνονταν τρελλή ανταλλαγή shadow αρχείων. Από την άλλη μπορεί και να έχω πάθει αλτσχάιμερ
apoikos Δημοσ. 12 Σεπτεμβρίου 2006 Δημοσ. 12 Σεπτεμβρίου 2006 Αν δεν κάνω λάθος (γιατί δεν έχω πιεί καφέ ακόμα ) με συνδιασμό της εντολής unshadow και του john (John the Ripper) μπορεί κάποιος να αποκρυπτογραφήσει το hash από το αρχείο /etc/shadowΕίμαι σχεδόν σίγουρος ότι θυμάμαι κάποιες γωνιές του internet που κάποτε γίνονταν τρελλή ανταλλαγή shadow αρχείων. Από την άλλη μπορεί και να έχω πάθει αλτσχάιμερ Σαφέστατα και μπορείς να κάνεις brute force με το John the Ripper. Όμως runtime το /etc/shadow είναι προσβάσιμο μόνο από τον root και γενικά δίνεται μεγάλη προσοχή σε αυτό. Αν πάρεις το δίσκο offline, εννοείται ότι έχεις πρόσβαση στο shadow, εκτός και αν το root fs είναι κρυπτογραφημένο. Και πάλι όμως, αν το password είναι σωστά επιλεγμένο (π.χ. μεγάλο, και ανθεκτικό σε dictionary attacks), και hashed με έναν καλό αλγόριθμο (π.χ. blowfish), η δουλειά του John γίνεται πολύ - μα πολύ - δύσκολη.
NullScan Δημοσ. 12 Σεπτεμβρίου 2006 Δημοσ. 12 Σεπτεμβρίου 2006 ^^ Yes, yes. Άλλο κατάλαβα, αλλά ήθελα να πώ ότι γίνεται ακόμα και αν είναι χρονοβόρο ωστε να δώσω έμφαση στο πόσο σημαντικό είναι αυτό το αρχείο. Μετά από 2 τζούρες καφέ όλα γίναν πιό καθαρά. Θα το ρίξω στις ενέσεις καφείνης μου φαίνεται :S
nske Δημοσ. 12 Σεπτεμβρίου 2006 Δημοσ. 12 Σεπτεμβρίου 2006 Αν δεν κάνω λάθος (γιατί δεν έχω πιεί καφέ ακόμα )Αν δεν κάνω λάθος (γιατί δεν έχω πιεί καφέ ακόμα ) με συνδιασμό της εντολής unshadow και του john (John the Ripper) μπορεί κάποιος να αποκρυπτογραφήσει το hash από το αρχείο /etc/shadow Εγώ τώρα ξύπνησα και ήπια τον πρωινό μου καφέ Τα hashes δεν αποκρυπτογραφούνται, απλά συγκρίνονται αλλεπάλληλα με hashes που παράγονται από τυχαίες (ή όχι και τόσο τυχαίες) ακολουθίες χαρακτήρων με την ελπίδα να βρεθεί το text του αρχικού κωδικού με αυτόν τον τρόπο (ή κάποιο άλλο που να παράγει το ίδιο hash λόγω collision). Το πόσο πιθανό είναι να βρεθεί ο κωδικός έτσι σε εύλογο χρονικό διάστημα εξαρτάται όπως είπε ο apoikos από το τι σώι κωδικός είναι (από πόσους χαρακτήρες αποτελείται και αν έχουν κάποια λογική μεταξύ τους η οποία να μπορεί να αναπαραχθεί από το σπαστήρι (π.χ. λέξεις λεξικού με αριθμούς στο τέλος)). [Edit] ουπς με πρόλαβε ο apoikos
firewalker Δημοσ. 12 Σεπτεμβρίου 2006 Μέλος Δημοσ. 12 Σεπτεμβρίου 2006 Η εντολή που είχα ακούσει είναι νομίζω η linux single σε lilo. Επίσης διάβασα πως αν κάποιος μπουτάρει με cd ή δισκέτα μπορεί να αλλάξει το /etc/shadow ή το /etc/passwd και δεν χρειάζεται να έχει τον κωδικό του root. Τόσο απλό είναι;
nske Δημοσ. 12 Σεπτεμβρίου 2006 Δημοσ. 12 Σεπτεμβρίου 2006 Ανάλογα τη διανομή, μπορεί να είναι τόσο απλό. Αν θέλεις μπορείς να ξηλώσεις τελείως το runlevel 1, η να αναγκάσεις το σύστημα να ζητάει κωδικό πάντα, βάζοντας στο /etc/inittab να εκτελεί πριν απ' όλα το sulogin (ή άλλο αντίστοιχο) ~~:S:wait:/sbin/sulogin Και πάλι όμως, θα μπορούσε π.χ. να περάσει στον kernel init=/bin/sh, ώστε ο kernel να τρέξει ως πρώτο proccess ένα root shell αντί το init. Για αυτό θα μπορούσες να ρυθμίσεις τον bootloader να ζητάει κωδικό. Βέβαια στην τελική αυτά είναι λεπτομέρειες για κάποιον που έχει τοπική πρόσβαση, η μόνη λύση για να προστατεύσεις τα αρχεία σου είναι η κρυπτογράφηση
firewalker Δημοσ. 12 Σεπτεμβρίου 2006 Μέλος Δημοσ. 12 Σεπτεμβρίου 2006 Αυτό που θες είναι κρυπτογραφημένο root filesystem. Προστατεύεις το filesystem με ένα password, το οποίο χρησιμοποιείται ως μέρος του κλειδιού για την κρυπτογράφηση και αποκρυπτογράφησή του. Κάθε φορά που κάνεις mount το συγκεκριμένο partition, το σύστημα θα ζητάει την passphrase για να το ξεκλειδώσει. Αυτό πως γίνεται για να κάνω καμιά δοκιμή στο Vmware; (Το encrypt στο HOOKS του mkinitcpio έχει σχέση; ). Αν θέλεις μπορείς να ξηλώσεις τελείως το runlevel 1 Αυτό πως ακριβώς γίνεται; Από το inittab;
apoikos Δημοσ. 12 Σεπτεμβρίου 2006 Δημοσ. 12 Σεπτεμβρίου 2006 Αυτό πως γίνεται για να κάνω καμιά δοκιμή στο Vmware; (Το encrypt στο HOOKS του mkinitcpio έχει σχέση; ). Ρίξε μια ματιά εδώ: http://wiki.archlinux.org/index.php/Using_DM-Crypt Αυτό πως ακριβώς γίνεται; Από το inittab; Ναι, γενικά το inittab έχει γραμμές της μορφής: > identifier:runlevels:action:execute Αν πουθενά στο inittab το πεδίο runlevels δεν περιέχει S ή 1, τότε δε θα έχεις single-user runlevel.
nske Δημοσ. 12 Σεπτεμβρίου 2006 Δημοσ. 12 Σεπτεμβρίου 2006 Τελικά όχι, φαίνεται ότι τα runlevels reboot, shutdown και single είναι hard-coded. Αυτό που δεν διευκρινίζει η man page είναι αν στην περίπτωση που ορίζονται στο inittab γίνονται override. After init is invoked as the last step of the kernel boot sequence, it looks for the file /etc/inittab to see if there is an entry of the type initdefault (see inittab(5)). The initdefault entry determines the initial runlevel of the system. If there is no such entry (or no /etc/inittab at all), a runlevel must be entered at the system console. Runlevel S or s bring the system to single user mode and do not require an /etc/inittab file. In single user mode, /sbin/sulogin is invoked on /dev/console. Τέλος πάντων, ούτως ή άλλως δεν υπάρχει λόγος να απενεργοποιήσει κάποιος το runlevel 1, χώρια που αν δεν κάνω λάθος το χρησιμοποιούν κάποια scripts π.χ. για boot σε περίπτωση που βρει το fsck σοβαρά προβλήματα στο / fs.
firewalker Δημοσ. 13 Σεπτεμβρίου 2006 Μέλος Δημοσ. 13 Σεπτεμβρίου 2006 Ωραία, χρήσιμες πληροφορίες Όρεξη για διάβασμα να έχεις, και...
Προτεινόμενες αναρτήσεις
Αρχειοθετημένο
Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.