root password recovery sur RedHat trop facile ...

par **kaido** » 15 Déc 2003 18:23

Hello, il y a 10 minutes, j'avais perdu le password root de l'un de mes serveurs Redhat Linux. Après 5 minutes sur Google, je l'avais récupéré (j'utilise grub comme bootloader) (http://www.techynetwork.com/modules.php ... le&sid=236) Mais je trouve ça un peu trop facile pour la récupération de ce password ... En gros, reboot machine, au prompt de grub, 'e', ajouter "1" à la ligne commençant par "kernel ...", et hop, boot en single user et arrivée directe au prompt de root ou je peux utiliser la commande 'passwd' Ma question: comment faire pour que le seul moyen de le récupérer soit de redémarrer sur un CD bootable, et donc qu'au lieu d'arriver directement au prompt root, il me demande le password root ? (le but étant de protéger le système d'une personne qui ne serait pas autorisée à le faire bien sûr ...) Je me doute que ça doit être possible en modifiant qqch dans /etc/inittab ou autre ... Une idée quelqu'un ? thx, Kaido

par **kaido** » 15 Déc 2003 18:34

ok, je peux mettre un password pour modifier les options de boot dans grub, mais j'aimerais faire ça au niveau du système même, pas grub.

par **Breizh-Tux** » 15 Déc 2003 18:34

salut , Je connais pas bien grub , mm pas du tout ... Mais pour lilo, son 'concurrent' tu peux le protéger par mot de passe, il doit en etre de mm pour grub. Demande à google, il sais bcp de choses ... Pour finir , tu devrais également en mettre un pour le bios , sinon t'es pas à l'abri d'un reboot (si tu ne désactive pas le Ctrl+Alt+Suppr), et redémarrage sous knoppix par ex et acces à toutes les partitions de ton system. Si la sécurité est un point essentiel pour toi penses-y ! bzh-tux <IMG SRC="images/smiles/icon_smile.gif">

par **kaido** » 15 Déc 2003 18:40

Pour le password de protection pour lilo/grub, j'y ai pensé (comme tu peux le voir ci-dessus <IMG SRC="images/smiles/icon_wink.gif">) Et effectivement le password BIOS est une bonne idée, sauf qu'elle t'empeche de faire un reboot à distance (même si ça arrive rarement sur ce genre de système <IMG SRC="images/smiles/icon_wink.gif">), ce qui peut être utile quand tu peux éviter de prendre ta voiture pour aller appuyer sur enter ... <IMG SRC="images/smiles/icon_wink.gif"> Kaido.

par **grosbedos** » 15 Déc 2003 18:46

salu, oui tu peux proteger ton boot loader par un mot de passe, que ce soit lilo ou grub. tu peux aussi modif /etc/inittab pour que ton systeme demande le passe admin lorsque tu boot en single user, il faut rajouter la ligne : ~~;S:wait:/sbin/sulogin avant la ligne si::sysinit

par **kaido** » 15 Déc 2003 18:58

ça marche sauf que c'est pas ~~;S:wait:/sbin/sulogin ^ mais bien : ~~:S:wait:/sbin/sulogin ^ <IMG SRC="images/smiles/icon_wink.gif"> merci ! Kaido.

par **tomtom** » 15 Déc 2003 19:02

Dans tous les cas, il ne faut pas se leurrer... acces physique à la machine == machine non sécurisée... Le password sur le bootloader est la meilleure solution ! Le passwd sur le bios pour empecher d'entrer dedans permet d'eviter le boot sur un media amovible sans pour autant l'empecher de booter à distance ! Mais ca n'empeche pas un intrus de piquer le disque dur pour le monter dans une autre machine et ecraser le fichier passwd (manip deja effectuée, c'est assez etonnant de simplicité ! ) bref, si tu veux une forteresse, tu la mets dans une piece à acces restreint ! Sinon, la secu de la machine est illusoire... t.

par **kaido** » 15 Déc 2003 23:18

Bien évidemment, il s'agit toujours d'un compromis entre sécurité et faisabilité. Le principe est le même pour une alarme dans une maison, on peut en poser une mais une personne totalement déterminée à voler quelque chose dans cette maison y arrivera bien par un moyen ou par un autre, tout comme une serrure comparée à une porte blindée, etc ...

par **jamel_partou** » 15 Déc 2003 23:30

En effet, mettre un system d'alarme deblocable par un code : ok. SI on perd ce code, on doit trouver un moyen de le retrouver. Si il y a un sysem d'alarme par code pour aller chercher le code qui va debloquer le premier systeme, encore ok. Mais alors ,on s'arrete pas la : et si on perd ce second code, faut mettre en place un systeme qui protege notre second code, mais ce systeme sera proteger par un code ? encore. on s'arrete la. La securite est un compromis entre disponibilité et protection des donnees. L'un ne doit pas se faire au detrimant de l'autre sous peine d'indispoonibilité, voir d'intrediction d'acces.

par **wann** » 16 Déc 2003 01:18

Hello, Tomtom a raison car qui dit accès physique, dit machine non sécurisée. Celà dit, il ne faut pas non plus être parano au point d'enlever le CD-Rom, le lecteur de D7... Pour en revenir à ta question, GRUB permet de positionner un mot de passe pour 2 usages : - un mot de passe est requis pour démarrer le système, mais c'est gênant lorsque l'on reboote à distance. - un mot de passe est demandé uniquement si l'on souhaite passer des arguments au noyau. Celà dépend de l'endroit dans le /boot/grub/grub.conf où l'on positionne l'instruction 'password' (avant 'title', on est dans le cas 2, dans un title, on est dans le cas 1 pour le noyau concerné). Pour GRUB, lire "info grub", beaucoup plus complet que le man ! Et hop, une petite doc : <a href="http://www.europe.redhat.com/documentation/rhl7.3/rhl-rg-fr-7.3/ch-grub.php3" target="_blank">http://www.europe.redhat.com/documentation/rhl7.3/rhl-rg-fr-7.3/ch-grub.php3</a> PS, le GRUB, c'est super !

par **kaido** » 16 Déc 2003 01:26

ok, mais je trouve plus propre de faire ça au niveau du système (via /etc/inittab) qu'au niveau de grub. Il y a pas mal de chances pour que cette façon de faire reste valable plus longtemps que grub lui-même ... ... ce n'est ni le premier ni le dernier bootloader existant <IMG SRC="images/smiles/icon_smile.gif"> Kaido

par **tomtom** » 16 Déc 2003 10:29

oui, sauf que, reprenons ton cas de tout à l'heure.. passwd root perdu ! Avec un passwd dans grub (different de celui du root bien sur !), tu pourrais acceder à une ligne de commande pour changer ton mdp ! En bloquant cet acces, tu te proves de cette solution, t'obligeant au mieux à booter sur un media amovible, a upire à enlever ton disque, ce qui cree de l'indisponibilité... C'est ton choix ! Perso, je mettrais un paswwd sur lilo.... <IMG SRC="images/smiles/icon_wink.gif"> t.

par **kaido** » 16 Déc 2003 12:07

En bref, ce que je vois d'intéressant à faire ici, c'est mettre un mot de passe empechant la modification des options kernel à n'importe qui, et obliger le password root en single user. C'est en tout cas ce niveau de sécurité qui me convient <IMG SRC="images/smiles/icon_smile.gif"> Maintenant à partir du moment où le serveur est filmé par trois caméras et qu'il faut un badge pour accéder à la salle le renfermant (en passant par couloirs filmés eux aussi), je ne suis pas inquiété, mais bon, on est jamais trop parano en sécurité <IMG SRC="images/smiles/icon_eek.gif">

par **orange_smell** » 16 Déc 2003 12:34

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-12-16 11:07, kaido a écrit: En bref, ce que je vois d'intéressant à faire ici, c'est mettre un mot de passe empechant la modification des options kernel à n'importe qui, et obliger le password root en single user. C'est en tout cas ce niveau de sécurité qui me convient <IMG SRC="images/smiles/icon_smile.gif"> Maintenant à partir du moment où le serveur est filmé par trois caméras et qu'il faut un badge pour accéder à la salle le renfermant (en passant par couloirs filmés eux aussi), je ne suis pas inquiété, mais bon, on est jamais trop parano en sécurité <IMG SRC="images/smiles/icon_eek.gif"> </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Tu travailles pour la NSA ??? <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif">

par **fludo67** » 17 Déc 2003 02:09

Salut Oui on appelle ca le mode Single User Mais attention tout de même : si tu mets un password dans /etc/lilo.conf (ou grub on s'en fout c la même syntaxe) et que tu oublies le password, tu es dans le caca... <IMG SRC="images/smiles/icon_smile.gif">

root password recovery sur RedHat trop facile ...

Qui est en ligne ?