Senha de ROOT

leoventura
(usa Debian)

Enviado em 30/04/2008 - 10:44h

Pessoal, acho que todo mundo aqui sabe como quebrar a senha de root com um cd de boot.
Bom, eu gostaria de saber como impedir isso. Eu sei que se eu criptografar a partiçao isso esta resolvido, mas eu nao quero ter que digitar uma passphrase sempre que reiniciar o Servidor.
Alguem sabe o que posso fazer??
Desde ja agradeço.

edupersoft
(usa Manjaro Linux)

Enviado em 30/04/2008 - 11:38h

O ideal é outras pessoas não terem acesso físico ao servidor. Algumas opções podem minimizar o problema, altere na BIOS para que não seja permitido boot por outro meio que não seja o HD e coloque a senha na BIOS. Altere o LILO para não permitir acesso com superusuário. Lógico que se o invasor puder abrir o micro, ele reseta a BIOS pela placa mãe, reconfigura os boots e volta a condição que era antes. Para completar, você pode monitorar os logs e principalmente e fazer com que o servidor te envie email acada boot e reinicialização, assim você pode perceber algum movimento extranho, mas tudo depende do que você esta protejendo e seu ambiente.

albfneto
(usa openSUSE)

Enviado em 30/04/2008 - 12:02h

Olha, há jeitos de colocar senha no Grub, por ex, mas isso só protege se Linux instalado.
Por ex, vc sabe, muitas distros, não todas, protegem o root e vc não loga como root, mas issoé só na versão instalada no disco rígido.
os Live CDs e DVDs são instaláveis,portanto, são em root direto, e pelo que entendi,é o quer evitar.
Não evita, pq esse acesso a root, tá no CD e vc não pode muda-lo!
Porisso acho que só na BIOS do micro, colocando senha, vc pode proteger.
Mas, muitas pessoas mexem no seu PC ou server?

albfneto
(usa openSUSE)

Enviado em 30/04/2008 - 12:04h

Mesmo pq, os lives Cds, não passam pelo grub, o boot é do CD!

cesar
(usa CentOS)

Enviado em 30/04/2008 - 12:09h

Acredito que se você colocar senha na BIOS no servidor resolva, porém se ele é reiniciado automaticamente, acho que ele não vai dar boot enquanto você não colocar a senha, resumindo não é o ideal para o seu problema,

A única maneira é não ter acesso físico ao Servidor, somente pessoas autorizadas entrar na sala do servidor, etc...

pedrorissato
(usa Fedora)

Enviado em 30/04/2008 - 12:40h

senha no inicializador eh jóia.

E pergunta: Drive de cd-rom / dvd é essencial ao funcionamento do seu servidor?

Se não for retira ele, disquete tb... que jah dificulta bastante.... se der... teclado e mouse e deixa ele com ssh / telnet / freenx/X11vnc/ se for o caso e libera no hosts.allow somente uma outra maquina local (ex.: 192.168.1.47) pra acessar esse servidor. E pronto. Como diz um amigo meu "Não descobre nem a pau Juvenal" :P

leoventura
(usa Debian)

Enviado em 30/04/2008 - 19:05h

Trabalho em uma empresa que presta serviço para outras, e vende servidores.
A venda de servidores funciona como um contrato, empresa cobra uma taxa mensal para a manutençao dos servidores. Entao nao podemos garantir que pessoas estranhas nao tenham acesso fisico à maquina. E tambem esta descartada a possibilidade de colocar uma senha na inicializaçao, pois nao podemos mandar um tecnico para outra cidade só para digitar a senha e iniciar o servidor. Estou procurando uma soluçao para o caso de um espertinho chegar la, zerar a bios, dar boot com um Live CD, e acessar nossa HD.
Sera que essa soluçao nao existe??

pedrorissato
(usa Fedora)

Enviado em 01/05/2008 - 17:30h

Nops... nas condições que voce quer pelo menos nao achei nada.

Como disse se a maquina é servidor e tem a função de ser administrada por voces... não creio que o contratante tenha a necessidade de usar drive de cd/dvd nela... mas nao estou ai pra saber como funciona xD.

A melhor alternativa seria tirar o cd/dvd e disquete da maquina... colocar o parametro "restricted" no lilo/grub que pede senha soh quando vc for passar parametros ao kernel (iniciar em singleuser), nos boots normais não pede...

Ainda assim haveria o risco de rodar um pendrive com linux,... mas até ai... soh alguns usuarios "mais informados" conseguiriam... mesmo que um usuario "+/-" tentasse ele não teria mídia pra iniciar... não sendo o hd.