root password recovery sur RedHat trop facile ...

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Messagepar kaido » 15 Déc 2003 18:23

Hello, <BR> <BR>il y a 10 minutes, j'avais perdu le password root de l'un de mes serveurs Redhat Linux. <BR>Après 5 minutes sur Google, je l'avais récupéré (j'utilise grub comme bootloader) <BR>(http://www.techynetwork.com/modules.php ... le&sid=236) <BR>Mais je trouve ça un peu trop facile pour la récupération de ce password ... <BR>En gros, reboot machine, au prompt de grub, 'e', ajouter "1" à la ligne commençant par "kernel ...", et hop, boot en single user et arrivée directe au prompt de root ou je peux utiliser la commande 'passwd' <BR> <BR>Ma question: comment faire pour que le seul moyen de le récupérer soit de redémarrer sur un CD bootable, et donc qu'au lieu d'arriver directement au prompt root, il me demande le password root ? <BR>(le but étant de protéger le système d'une personne qui ne serait pas autorisée à le faire bien sûr ...) <BR> <BR>Je me doute que ça doit être possible en modifiant qqch dans /etc/inittab ou autre ... <BR> <BR>Une idée quelqu'un ? <BR> <BR>thx, <BR> <BR>Kaido <BR>
We all have questions but what seperates the men from the boys, is the ability to use google to find the answers.
Avatar de l’utilisateur
kaido
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 14 Déc 2003 01:00

Messagepar kaido » 15 Déc 2003 18:34

ok, je peux mettre un password pour modifier les options de boot dans grub, mais j'aimerais faire ça au niveau du système même, pas grub.
We all have questions but what seperates the men from the boys, is the ability to use google to find the answers.
Avatar de l’utilisateur
kaido
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 14 Déc 2003 01:00

Messagepar Breizh-Tux » 15 Déc 2003 18:34

salut , <BR> <BR>Je connais pas bien grub , mm pas du tout ... <BR>Mais pour lilo, son 'concurrent' tu peux le protéger par mot de passe, il doit en etre de mm pour grub. Demande à google, il sais bcp de choses ... <BR> <BR>Pour finir , tu devrais également en mettre un pour le bios , sinon t'es pas à l'abri d'un reboot (si tu ne désactive pas le Ctrl+Alt+Suppr), et redémarrage sous knoppix par ex et acces à toutes les partitions de ton system. Si la sécurité est un point essentiel pour toi penses-y ! <BR> <BR>bzh-tux <IMG SRC="images/smiles/icon_smile.gif">
In God we Trust -- all others must submit an X.509 certificate.
(Charles Forsythe)
Breizh-Tux
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 305
Inscrit le: 23 Fév 2003 01:00
Localisation: BZH , Degemer Mad

Messagepar kaido » 15 Déc 2003 18:40

Pour le password de protection pour lilo/grub, j'y ai pensé (comme tu peux le voir ci-dessus <IMG SRC="images/smiles/icon_wink.gif">) <BR> <BR>Et effectivement le password BIOS est une bonne idée, sauf qu'elle t'empeche de faire un reboot à distance (même si ça arrive rarement sur ce genre de système <IMG SRC="images/smiles/icon_wink.gif">), ce qui peut être utile quand tu peux éviter de prendre ta voiture pour aller appuyer sur enter ... <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>Kaido.
We all have questions but what seperates the men from the boys, is the ability to use google to find the answers.
Avatar de l’utilisateur
kaido
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 14 Déc 2003 01:00

Messagepar grosbedos » 15 Déc 2003 18:46

salu, <BR> <BR>oui tu peux proteger ton boot loader par un mot de passe, que ce soit lilo ou grub. <BR> <BR>tu peux aussi modif /etc/inittab pour que ton systeme demande le passe admin lorsque tu boot en single user, il faut rajouter la ligne : <BR> <BR>~~;S:wait:/sbin/sulogin <BR> <BR>avant la ligne si::sysinit
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
Avatar de l’utilisateur
grosbedos
Amiral
Amiral
 
Messages: 1493
Inscrit le: 27 Sep 2002 00:00

Messagepar kaido » 15 Déc 2003 18:58

ça marche sauf que c'est pas <BR> <BR>~~;S:wait:/sbin/sulogin <BR> ^ <BR>mais bien : <BR>~~:S:wait:/sbin/sulogin <BR> ^ <BR> <BR><IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>merci ! <BR> <BR>Kaido. <BR>
We all have questions but what seperates the men from the boys, is the ability to use google to find the answers.
Avatar de l’utilisateur
kaido
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 14 Déc 2003 01:00

Messagepar tomtom » 15 Déc 2003 19:02

Dans tous les cas, il ne faut pas se leurrer... acces physique à la machine == machine non sécurisée... <BR> <BR>Le password sur le bootloader est la meilleure solution ! <BR> <BR>Le passwd sur le bios pour empecher d'entrer dedans permet d'eviter le boot sur un media amovible sans pour autant l'empecher de booter à distance ! <BR> <BR>Mais ca n'empeche pas un intrus de piquer le disque dur pour le monter dans une autre machine et ecraser le fichier passwd (manip deja effectuée, c'est assez etonnant de simplicité ! ) <BR> <BR> <BR>bref, si tu veux une forteresse, tu la mets dans une piece à acces restreint ! <BR>Sinon, la secu de la machine est illusoire... <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar kaido » 15 Déc 2003 23:18

Bien évidemment, il s'agit toujours d'un compromis entre sécurité et faisabilité. <BR>Le principe est le même pour une alarme dans une maison, on peut en poser une mais une personne totalement déterminée à voler quelque chose dans cette maison y arrivera bien par un moyen ou par un autre, tout comme une serrure comparée à une porte blindée, etc ... <BR> <BR> <BR>
We all have questions but what seperates the men from the boys, is the ability to use google to find the answers.
Avatar de l’utilisateur
kaido
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 14 Déc 2003 01:00

Messagepar jamel_partou » 15 Déc 2003 23:30

En effet, mettre un system d'alarme deblocable par un code : ok. <BR>SI on perd ce code, on doit trouver un moyen de le retrouver. Si il y a un sysem d'alarme par code pour aller chercher le code qui va debloquer le premier systeme, encore ok. Mais alors ,on s'arrete pas la : et si on perd ce second code, faut mettre en place un systeme qui protege notre second code, mais ce systeme sera proteger par un code ? encore. on s'arrete la. <BR>La securite est un compromis entre disponibilité et protection des donnees. <BR>L'un ne doit pas se faire au detrimant de l'autre sous peine d'indispoonibilité, voir d'intrediction d'acces.
Avatar de l’utilisateur
jamel_partou
Second Maître
Second Maître
 
Messages: 45
Inscrit le: 26 Août 2003 00:00
Localisation: Asnières sur Seine

Messagepar wann » 16 Déc 2003 01:18

Hello, <BR> <BR>Tomtom a raison car qui dit accès physique, dit machine non sécurisée. Celà dit, il ne faut pas non plus être parano au point d'enlever le CD-Rom, le lecteur de D7... <BR>Pour en revenir à ta question, GRUB permet de positionner un mot de passe pour 2 usages : <BR>- un mot de passe est requis pour démarrer le système, mais c'est gênant lorsque l'on reboote à distance. <BR>- un mot de passe est demandé uniquement si l'on souhaite passer des arguments au noyau. <BR>Celà dépend de l'endroit dans le /boot/grub/grub.conf où l'on positionne l'instruction 'password' (avant 'title', on est dans le cas 2, dans un title, on est dans le cas 1 pour le noyau concerné). <BR>Pour GRUB, lire "info grub", beaucoup plus complet que le man ! <BR>Et hop, une petite doc : <BR><!-- BBCode auto-link start --><a href="http://www.europe.redhat.com/documentation/rhl7.3/rhl-rg-fr-7.3/ch-grub.php3" target="_blank">http://www.europe.redhat.com/documentation/rhl7.3/rhl-rg-fr-7.3/ch-grub.php3</a><!-- BBCode auto-link end --> <BR> <BR>PS, le GRUB, c'est super !
"Free your mind and your ass wil follow" (George Clinton)
Avatar de l’utilisateur
wann
Amiral
Amiral
 
Messages: 1032
Inscrit le: 07 Jan 2002 01:00
Localisation: Nantais, parfois ;-)

Messagepar kaido » 16 Déc 2003 01:26

ok, mais je trouve plus propre de faire ça au niveau du système (via /etc/inittab) qu'au niveau de grub. <BR>Il y a pas mal de chances pour que cette façon de faire reste valable plus longtemps que grub lui-même ... <BR>... ce n'est ni le premier ni le dernier bootloader existant <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Kaido
We all have questions but what seperates the men from the boys, is the ability to use google to find the answers.
Avatar de l’utilisateur
kaido
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 14 Déc 2003 01:00

Messagepar tomtom » 16 Déc 2003 10:29

oui, sauf que, reprenons ton cas de tout à l'heure.. passwd root perdu ! <BR> <BR>Avec un passwd dans grub (different de celui du root bien sur !), tu pourrais acceder à une ligne de commande pour changer ton mdp ! <BR> <BR>En bloquant cet acces, tu te proves de cette solution, t'obligeant au mieux à booter sur un media amovible, a upire à enlever ton disque, ce qui cree de l'indisponibilité... <BR> <BR>C'est ton choix ! <BR> <BR>Perso, je mettrais un paswwd sur lilo.... <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar kaido » 16 Déc 2003 12:07

En bref, ce que je vois d'intéressant à faire ici, c'est mettre un mot de passe empechant la modification des options kernel à n'importe qui, et obliger le password root en single user. <BR>C'est en tout cas ce niveau de sécurité qui me convient <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Maintenant à partir du moment où le serveur est filmé par trois caméras et qu'il faut un badge pour accéder à la salle le renfermant (en passant par couloirs filmés eux aussi), je ne suis pas inquiété, mais bon, on est jamais trop parano en sécurité <IMG SRC="images/smiles/icon_eek.gif">
We all have questions but what seperates the men from the boys, is the ability to use google to find the answers.
Avatar de l’utilisateur
kaido
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 14 Déc 2003 01:00

Messagepar orange_smell » 16 Déc 2003 12:34

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-12-16 11:07, kaido a écrit: <BR>En bref, ce que je vois d'intéressant à faire ici, c'est mettre un mot de passe empechant la modification des options kernel à n'importe qui, et obliger le password root en single user. <BR>C'est en tout cas ce niveau de sécurité qui me convient <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Maintenant à partir du moment où le serveur est filmé par trois caméras et qu'il faut un badge pour accéder à la salle le renfermant (en passant par couloirs filmés eux aussi), je ne suis pas inquiété, mais bon, on est jamais trop parano en sécurité <IMG SRC="images/smiles/icon_eek.gif"> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Tu travailles pour la NSA ??? <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif">
Hiroshima 45.
Tchernobyl 86.
Windows 95, 98, 2000, 2003.........
Avatar de l’utilisateur
orange_smell
Contre-Amiral
Contre-Amiral
 
Messages: 430
Inscrit le: 05 Août 2003 00:00
Localisation: Riyadh - Arabie Saoudite

Messagepar fludo67 » 17 Déc 2003 02:09

Salut <BR> <BR>Oui on appelle ca le mode Single User <BR>Mais attention tout de même : si tu mets un password dans /etc/lilo.conf (ou grub on s'en fout c la même syntaxe) et que tu oublies le password, tu es dans le caca... <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>
"Science sans Conscience n'est que ruine de l'âme" (F. Rabelais)
Avatar de l’utilisateur
fludo67
Quartier Maître
Quartier Maître
 
Messages: 25
Inscrit le: 28 Nov 2003 01:00


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron