[vergessenes Root-Passwort] Loesung: - mit SuSE-CD oder Diskette booten - System starten -> Rettungssystem - Harddisk auf dem /etc ist mounten z.B. mount /dev/hda1 /mnt (fuer IDE-Drives) mount /dev/scd1 /mnt (fuer SCSI-Drives) gemountete harddisk ist dann unter /mnt/.... Damit bist du root im /etc Verzeichnis und kannst das Password aendern. Am besten mit Befehl "passwd" System neu starten mit Ctrl-D ---------------------------- Genau. Und nun sag mir doch mal einer, ob das nicht ein RIESEN-Sicherheitsproblem ist. Die Firma Sowienoch hat ihr Produktionssystem auf SuSE-Linux laufen, und ich komme mit einer Bootdiskette und einem Rettungssystem daher und kann mich dort als Admin einloggen. Über die weiteren Folgen möchte ich hier gar nicht spekulieren. Ratlos, Arnd. Arnd Fischer TLC GmbH Frankfurt/Main DB Cargo - Projekt CPU Datenmodell Telekom: 069/265-18679, Arcor: 955-18679 -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
On 26-Feb-99 Arnd Fischer wrote:
Wenn die Hardware frei zugaenglich ist, hast Du IMHO immer ein Sicherheitsloch, durch das Du in das System kommen kannst. Verringern laesst es sich unter anderem, indem die Bootreihenfolge entsprechend eingestellt, das Bios-Setup durch ein Password geschuetzt und der Rechner gegen unbefugtes Aufschrauben geschuetzt wird. Gruss, Heinz. -- E-Mail: <Heinz W. Pahlke> h.pahlke@berlin.de Date: 26-Feb-99 Time: 10:55:19 This message was sent by XFMail via S.u.S.E. Linux 5.3 -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
On 26 Feb 1999, Arnd Fischer wrote: || ||[vergessenes Root-Passwort] || ||Loesung: ||- mit SuSE-CD oder Diskette booten [...] ||Damit bist du root im /etc Verzeichnis und kannst das Password ||aendern. |Genau. Und nun sag mir doch mal einer, ob das nicht ein |RIESEN-Sicherheitsproblem ist. | |ich komme mit einer Bootdiskette und einem |Rettungssystem daher und kann mich dort als |Admin einloggen. ist ein problem. klar. ist aber os-unabhaengig. weil unsere x86 hardware fuer ein diskettenbetriebssystem designt ist, kannst du dem rechner eben fast jede abscheulichkeit mit einer bootdiskette schmackhaft machen. das mindeste, was du tun kannst, ist eben das booten von floppy im bios zu verhindern. Gruss / with best regards Jens-Eike Jesau <jesau@warpserv.fh-bielefeld.de> Mach' mit bei--> I AM CLEAN <--der Initiative von Microsoft gegen Softwarepiraterie und Raubkopien ! ============================================================================== Linux on a single Floppy : <A HREF="http://www.toms.net/rb"><A HREF="http://www.toms.net/rb</A">http://www.toms.net/rb</A</A>> =========================================================================ESC :wq -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
Hallo
am besten diskettenlaufwerk und cd-laufwerk ausbauen, rechner sicher [!] verschließen und an einem bewachten punkt aufstellen. In diesem sinne Peter -- Peter M. Kruse - registered Linux User #96388 - Lest HOWTOs, MAN- und Info-Pages, SDB, Handbuecher. - -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 At 09:35 26.02.99 +0100, Arnd Fischer wrote:
Die Firma Sowienoch hat ihr Produktionssystem auf SuSE-Linux laufen,
und ich
Das ist nur so lange ein Sicherheitsproblem, wie Du ungehindert physikalischen Zugang zu diesem Rechner hast. Den Computer bzw. das System, das auch bei dieser Angriffsmöglichkeit noch einigermaßen sicher ist, wirst Du außerhalb von Einrichtungen mit extremen Sicherheitsanforderungen (Militär etc.) nicht finden. Wenn jemand Dritte physikalisch an seinen Server läßt, ohne ihnen dabei permanent über die Schulter zu schauen, dann ist er zu 100elber schuld, wenn sein System dabei kompromitiert wird. Gute Grundlagen (auch zum Thema "Physical security") liefert "Practical UNIX and Internet Security" von Garfinkel und Spafford, erschienen bei O'Reilly (2. Aufl.). Tara Xoph -----BEGIN PGP SIGNATURE----- Version: PGPfreeware 5.5.3i for non-commercial use <<A HREF="http://www.pgpi.com"><A HREF="http://www.pgpi.com</A">http://www.pgpi.com</A</A>>> iQA/AwUBNtaEFVDnuWALzzAwEQIRBACeKdkHWZWTHvebP+pmwfJ9xJKypnoAoJNR W4IwQX0VycxmzIyqbT/rZMRr =y5ug -----END PGP SIGNATURE----- PGP encrypted messages are welcome. Key from public key server. Finger print: FF7C 9D44 D028 7B56 1BF2 31C0 50E7 B960 0BCF 3030 -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
Hallo Arndt!
Das Problem ist nicht auf Linux beschränkt, es trifft alle Betriebssysteme gleichermaßen. Wenn Du es einem "zufaellig" vor dem Rechner sitzenden Angreifer etwas schwerer machen willst, dann kann man immerhin noch im Bios Setup das Booten auf die Festplatte beschraenken und das Bios ueber Passwort schuetzen. Eine sichere Loesung ist das aber auch nicht, schliesslich kann man ja den Rechner ausschalten, aufschrauben und ueber irgendeinen Jumper das Setup loeschen. Der Rechner (bzw. die Platten) kann natuerlich auch gestohlen werden, spaetestens danach kommt man einfach an den Plattteninhalt. Wesentlich sicherer wuerde ein System nur, wenn Du einen speziellen Plattencontroller einsetztest, der Daten verschluesselt auf der Platte speichert. Merke: Sicherheit ist TEUER. Man muß sich genau ueberlegen, wogegen man den Rechner sichern möchte und wieviel Geld man dafuer ausgeben will. Ein richtig sicheres System in einem sicheren Raum (Zugangssicherung, Sicherung gegen Abhoeren) ist sehr aufwendig und meist unnoetig. cu, Knut -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
Arnd Fischer wrote:
Welcher Admin laesst seine Serverlein oder sonstige kisten bitteschoen einfach so offen rumstehen? wenn doch linux-boxen irgendwo stehen muessen und zugaenglich sein muessen dann gehoeren da keine diskettenlaufwerke rein! wer direkten zugriff an den rechner hat knackt auch NT in fuenf minuten oder nimmt gleich den ganzen rechner mit ;-) gruss, thomas -- Thomas Reitelbach Internet: www.dreamforce.notrix.de Azubi IT-Systemelektroniker Mailto : t.reitelbach@ndh.net -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux
participants (7)
-
Arnd.Fischer@bku.db.de
-
christoph.jahn@gmx.de
-
h.pahlke@berlin.de
-
jesau@warpserv.fh-bielefeld.de
-
Knut_Petersen@t-online.de
-
p.kruse@gmx.de
-
t.reitelbach@ndh.net