Linux - insecure by design?

flylord
Ilić Aleksandar
Simplicity d.o.o.
Nis/Uzice

Član broj: 2954
Poruke: 3859
*.smdesign.co.yu

ICQ: 4849714

+68 Profil

^{23.08.2004. u 09:48 - pre 240 meseci}

Odgovor je i da i ne. Kad je u pitanju debian, RH, Suse, tamo ne mozes da udjes ni u single mod bez root sifre, na slacka mozes, ali ako hoces i kod njega mozes da namestis autorizaciju kod single moda. Ali ono sto je bitno, nijedan sistem nije bezbedan kada intruder ima fizicki pristup, i za WinXP ima disketa, umetnem je i promenim sifru. Tako isto za bilo koji drugi sistem. Za veciniu Unix-a dovoljan je samo boot disk i tolko mu bilo.
poz

formeye
Ivan Čukić
KDE developer, Free Software Network
Serbia
BGD

Član broj: 5188
Poruke: 388
*.vdial.verat.net

Sajt: ivan.fomentgroup.org

Profil

^{23.08.2004. u 09:52 - pre 240 meseci}

Inace, probajte sledece u XP-u (testirano sa sp1)

Idite u Safe Mode, kliknite na administrator i radite sta god pozelite (bez potrebe za znanjem sifre)

While you were hanging yourself on someone else's words
Dying to believe in what you heard
I was staring straight into the shining sun

flylord
Ilić Aleksandar
Simplicity d.o.o.
Nis/Uzice

Član broj: 2954
Poruke: 3859
*.smdesign.co.yu

ICQ: 4849714

+68 Profil

^{23.08.2004. u 09:55 - pre 240 meseci}

Iz tih razloga se poklanja paznja i velikoj fizickoj bezbednosti serverima, jer systemske particije ne mogu da se kriptuju
poz

degojs

Član broj: 4716
Poruke: 5096

+51 Profil

^{23.08.2004. u 09:57 - pre 240 meseci}

Hvala, to sam i hteo da čujem. Stvar je u tome da je kolega VRider pokušao ovo da predstavi kao prednost na onoj drugoj temi, što ipak nije bilo pošteno.

I sad, znači ako je zabranjeno, a mi ne znamo lokalnu root šifru, ne možemo da se ssh-ujemo? Na Windowsu možemo da koristimo nalog domen admina i da uradimo šta treba, lokalni admin je nebitan (možemo da čak i njemu promenimo lozinku, a možemo i da ga isključimo :). Kako bi stvari stajale sa Linuxom po tom pitanju?

Commercial-Free !!!

BlueIce
Marko Marić
Novi Sad

Član broj: 4448
Poruke: 215
195.178.35.*

Profil

^{23.08.2004. u 10:40 - pre 240 meseci}

Citat:

formeye: Inace, probajte sledece u XP-u (testirano sa sp1)

Idite u Safe Mode, kliknite na administrator i radite sta god pozelite (bez potrebe za znanjem sifre)

Ne bih se složio s tim, kući imam 3 mašine, od koje 2 imaju WindowsXP. Ova na kojoj treutno radim je SP2 RTM, dok je na drugoj SP1 i tamo traži adminstratorsku lozinku u safe modu. E sad što se tiče Recovery Console-e kod njega je potrebna administratorska lozinka za pritup (lozinka korisnika Administrator), dok kod mene nije jer sam podesio preko MMC.

PS: Brat je hteo da me ubije kada sam mu resetovao mašinu "daljinski" preko mreže :)

flylord
Ilić Aleksandar
Simplicity d.o.o.
Nis/Uzice

Član broj: 2954
Poruke: 3859
*.smdesign.co.yu

ICQ: 4849714

+68 Profil

^{23.08.2004. u 10:54 - pre 240 meseci}

Moze i na Linux-u da se izvede. Zato sluzi NIS. Dok sada imaju i druge tehnologije za to: PAM+LDAP+net_file_system. To znaci da su svi korisnici u jedinstvenoj bazi (NIS/LDAP/nesto trece). Sto se tice samog odrzavanja masina kroz mrezu moze preko ssh ali to je onda rucno odrzavanje. A moze i preko Webmin-a . On podrzava administraciju mreze servera/radnih stanica. Tako da bez problema moze da se izvede, nisam nikad radio tako da ne mogu da ti dam detalje, ali mogu da te uputim gde da procitas.
A kao sto sam rekao za fizicku bezbednost. Stvarno nije bitno da li neki IS ima sifru na safe/single mode. Jednostavno ubacim CD, ili izvadim hard disk iz njega, ili .....
Imate ovde na ES-u ljude koje rade u velikim provajderima (Alex, Leka ako se ne varam) pa mozete da ih pitate gde stoje ruteri i serveri kod njih

degojs

Član broj: 4716
Poruke: 5096

+51 Profil

^{23.08.2004. u 11:04 - pre 240 meseci}

Ma slušaj flajko, ako meni pišeš - ja uopšte ne dovodim to u pitanje što kažeš za sigurnost (već sam jednom napisao ovde na forumu kod mene na poslu u kakvim kontrolisanim /temp, vlažnost, zaključano/ prostorijama drže servere).
Ipak malo mi je čudno da je VRider to predstavio kao neku prednost na radnim stanicama jer šta bi onda bilo u mreži od xyz radnih stanica gde recimo studentarija jedva čeka da nešto poremeti na istim i tako ispadnu pametni :)

Commercial-Free !!!

dinke
Dragan Dinić
General Manager / Lampix.net
Beograd

Član broj: 933
Poruke: 1008
*.boox.co.yu

Sajt: www.dinke.net

+2 Profil

^{23.08.2004. u 12:50 - pre 240 meseci}

OK, pobrisao sam neke postove koji su očigledno bili uvredljivi za pojedine a bogami i reakcije na iste. Lična prepucavanja ovde nisu dozvoljena.

Hvala na razumevanju.

Caught in a Web|Blogodak

Dragi Tata
Malo ispod Kanade

Član broj: 1958
Poruke: 3906
66.228.70.*

+6 Profil

^{23.08.2004. u 13:37 - pre 240 meseci}

Citat:

formeye: Inace, probajte sledece u XP-u (testirano sa sp1)

Idite u Safe Mode, kliknite na administrator i radite sta god pozelite (bez potrebe za znanjem sifre)

Netačno.

caboom
Igor Bogicevic
bgd

Član broj: 255
Poruke: 1503
80.93.230.*

ICQ: 60630914

+1 Profil

^{23.08.2004. u 13:42 - pre 240 meseci}

Citat:

flylord: Odgovor je i da i ne. Kad je u pitanju debian, RH, Suse, tamo ne mozes da udjes ni u single mod bez root sifre

hmm... a init=/bin/bash npr?

OV SM
LA PK

Dragi Tata
Malo ispod Kanade

Član broj: 1958
Poruke: 3906
66.228.70.*

+6 Profil

^{23.08.2004. u 13:51 - pre 240 meseci}

A stvarno, kako stoje stvari sa ovim:

http://linux.about.com/library/bl/open/newbie/blnewbie3.2.3.htm

dpop
Dragan Đ. Popović
VBD, IT
Brčko distrikt BiH

Član broj: 1879
Poruke: 400
81.94.9.*

Jabber: dpop@elitesecurity.org
Sajt: dragon.objectis.net

Profil

^{23.08.2004. u 13:55 - pre 240 meseci}

Kako dodatno osigurati single user mod kod linux-a se može konsultovati i
http://www.linux.co.yu/?topic=...;item=99&show=1&mode=1
ili
http://www.hackinglinuxexposed.com/articles/20020625.html
etc...etc

Howdy & Stay tuned to ...ES.. :))

dinke
Dragan Dinić
General Manager / Lampix.net
Beograd

Član broj: 933
Poruke: 1008
*.boox.co.yu

Sajt: www.dinke.net

+2 Profil

^{23.08.2004. u 14:09 - pre 240 meseci}

Pa, sve sto je covek rekao je apsolutno tacno. Fora sa slanjem k-di kernelu prilikom lilo promta se fixa postavljanjem pass-a u lilo (i setovanjem /etc/lilo.conf na 600). Druga fora opet moze da se sredi tako sto se zabrani boot osim sa hdd-a u biosu (i setuje pass unutar istog). No i to se moze crackovati, tako da ... nema sigurne zastite ako postoji fizicki pristup racunaru.

Caught in a Web|Blogodak

bojan_bozovic

Član broj: 29028
Poruke: 3292
*.info-net.co.yu

Sajt: angelstudio.org

+392 Profil

^{23.08.2004. u 14:59 - pre 240 meseci}

Za Linux

Samo se u LILO lilo.conf doda password= linija i /etc/lilo.conf ucini nedostupnim za citanje grupi i svetu (chmod 600 /etc/lilo.conf)
Tada ne moze da se upise u LILO boot: prompt npr
Linux-2.4.27 root=/dev/hda2 ro init=/bin/bash

Uostalom lokalna sigurnost servera (UNIX,Win) podrazumeva kamere, pse, naoruzane cuvare - nijedan sistem nije bezbedan u lokalu ako moze da izleti kroz prozor

dinke
Dragan Dinić
General Manager / Lampix.net
Beograd

Član broj: 933
Poruke: 1008
*.verat.net

Sajt: www.dinke.net

+2 Profil

^{23.08.2004. u 15:37 - pre 240 meseci}

@Dragi Tata
Zaboravih da pitam, kako Windows stoji po tom pitanju :) ?

Caught in a Web|Blogodak

Dragi Tata
Malo ispod Kanade

Član broj: 1958
Poruke: 3906
66.228.70.*

+6 Profil

^{23.08.2004. u 17:07 - pre 240 meseci}

Citat:

dinke: @Dragi Tata
Zaboravih da pitam, kako Windows stoji po tom pitanju :) ?

Manje više isto:

http://www.petri.co.il/forgot_administrator_password.htm

Dragi Tata
Malo ispod Kanade

Član broj: 1958
Poruke: 3906
66.228.70.*

+6 Profil

^{23.08.2004. u 17:11 - pre 240 meseci}

A i na "supersigurnom" OpenBSD-u:

http://www.yak.net/fqa/271.html

VRider
Marković Damir
(BGD/SD Karaburma)/Pirot

Član broj: 1510
Poruke: 4132
212.200.53.*

Jabber: damirm | gmail | com
ICQ: 134002435

+13 Profil

^{23.08.2004. u 17:46 - pre 240 meseci}

Zasto ovo ne bi bilo sigurno?
U "Tigru", koji ima par sugavih servercica se vec 4 godine ulazi u serversku sobu sa kljucem + otiskom prsta.

JaFreelancer.com

axez

Član broj: 1021
Poruke: 1388
*.nat-pool.nsad.sbb.co.yu

Profil

^{23.08.2004. u 17:57 - pre 240 meseci}

Degojs, pogresio si naziv teme

http://www.washingtonpost.com/...978-2003Aug23?language=printer