Закрытие лазейки в GRUB

grub.png

По умолчанию в ПК и ноутбуках BIOS не защищён паролем, а там где он был задан может быть оставлена возможность загрузки с USB Flash. Загрузившись с другого носителя можно получить доступ к диску с вашей системой. Если же меры защиты приняты, остаётся уязвимым загрузчик GRUB с настройками, позволяющими редактировать строку параметров ядра. Передав ядру параметр init=/bin/bash, можно получить полный контроль над системой.

Было бы опрометчиво рассчитывать на компьютерную безграмотность пользователей, поэтому в утилитах Calculate 3.5.3 была добавлена поддержка защиты паролем редактирования параметров загрузки GRUB. Защита паролем - штатная возможность GRUB 2, немного доработанная таким образом, чтобы можно было по прежнему загружать систему, а так же найденные на диске системы без ввода пароля. Для возможности редактирования настроек, а так же для перехода в интерактивный режим потребуется ввести логин “root” и пароль. Пароль можно задать при помощи утилиты cl-setup-boot или из графической консоли:

cl-setup-boot.png

При установке системы из Live USB для защиты GRUB будет использоваться пароль пользователя root. Пароль надёжно защищён, т.к. хранится в хэше sha512 с доступом только с правами root. При установке системы в резервный раздел, пароль GRUB будет перенесён вместе с другими настройками системы.

…BIOS не защищён паролем, а там где он был задан может оставаться возможность загрузки с USB Flash…

Вроде как, без пароля на BIOS нельзя будет выбрать другой источник загрузки и загрузиться с флешки.

Да, конечно, я имел ввиду что по невнимательности можно эту лазейку оставить.

без шифрования диска это не имеет смысла

Виктор Кустов писал(а):

без шифрования диска это не имеет смысла

Можно обосновать?

снимаем кожух, вставляем загрузочный винт на место существующего, существующий по USB подключаем, получаем доступ к данным.

Виктор Кустов писал(а):

снимаем кожух, вставляем загрузочный винт на место существующего, существующий по USB подключаем, получаем доступ к данным.

С ефи так не пролучится, да и кто вам даст в компьютерном классе, офисе и т.п. кожух снимать? И ещё вопрос к каким данным? В системе есть поддержка шифрования директорий пользователя.

Alexander Tratsevskiy писал(а):

В системе есть поддержка шифрования директорий пользователя.
Опять же какой смысл в лишнем пароле?
Может я что то не понимаю, но представим что биос открыт, но стоит пароль на grup! Ну и … LiveUSB, chroot и какая мне разница что там с grub. А если биос запоролен, то возвращаемся к пункту 1 зачем нам лишний пароль?

Или я что то не понимаю?

Юрий Ануфриев писал(а):

Alexander Tratsevskiy писал(а):

В системе есть поддержка шифрования директорий пользователя.
Опять же какой смысл в лишнем пароле?
Может я что то не понимаю, но представим что биос открыт, но стоит пароль на grup! Ну и … LiveUSB, chroot и какая мне разница что там с grub. А если биос запоролен, то возвращаемся к пункту 1 зачем нам лишний пароль?

Или я что то не понимаю?

Представьте что система стоит не у вас дома, а в компьютерном классе где-нибудь в школе или вузе. Отсутствие пароля на биосе позволит школьнику загрузиться со своей флешки. Т.е. чтобы взломать систему нужен загрузочный носитель. Открытось же граба позволяет получить контроль над системой ещё проще, быстрее, с меньшими знаниями и главное без какого-либо носителя. Не нужно угадывать по какой клавише FX вам нужно вызвать меню выбора загрузки или лезть в биос чтобы включить загрузку с флешки, просто тупо → “e” → “init=/bin/bash rw” → “rm -rf /”. Ну или насколько фантазии хватит, например rm по крону или wget какого-нить своего заготовленного скрипта в автозагрузку.

А чтобы не плодить лишние пароли, по умолчанию в Grub используется пароль root.

а если пароль рута пустой?

а если пароль рута пустой?

С пустым паролем рута установщик не поставит систему.