Re: Bug #358651, ¿es un problema de seguridad?

[José Parrella <joseparrella@cantv.net>]

Alejandro Exojo escribió:
> Tiene el tag "security", pero no ha habido respuesta alguna al informe. 
> ¿Creéis que es de verdad un problema de seguridad? Me extraña que ni se 
> confirme, ni se desmienta.

Sí es un problema de seguridad. No tener una contraseña configurada para
el arranque en Grub no es una buena idea. Alguien puede pasar un
parámetro de arranque particular a un kernel y obtener privilegios de
superusuario si tiene acceso físico al equipo. Estos problemas se suelen
minimizar en un desktop de uso personal, y en las laptops que
implementan contraseña para acceder a los discos duros.

Si se configura una contraseña para Grub, se puede pasar por un
algoritmo de resumen como MD5. A pesar de eso, un ataque de fuerza bruta
contra esa contraseña es posible utilizando un diccionario y suficiente
tiempo. Finalmente, dentro de menu.lst hay información interesante sobre
los sistemas operativos (y las versiones) que GRUB puede arrancar en ese
equipo, y da una idea primitiva del esquema de particionado del disco.

Quizás Javier y otras personas te puedan dar más razones por las cuales
Tiger y otras herramientas de seguridad piden que menu.lst tenga
permisos 600. Una solución que también se ve a menudo es tener /boot en
una partición distinta y desmontarla al arranque.

Jose

-- 
José M. Parrella -> Debian Sid, k2.6.18
Escuela de Ingenieria Electrica
Universidad Central de Venezuela -> ucvlug.info