[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Bug #358651, ¿es un problema de seguridad?



El Viernes, 26 de Enero de 2007, José Parrella escribió:
> Alejandro Exojo escribió:
> > Tiene el tag "security", pero no ha habido respuesta alguna al informe.
> > ¿Creéis que es de verdad un problema de seguridad? Me extraña que ni se
> > confirme, ni se desmienta.
>
> Sí es un problema de seguridad. No tener una contraseña configurada para
> el arranque en Grub no es una buena idea. Alguien puede pasar un
> parámetro de arranque particular a un kernel y obtener privilegios de
> superusuario si tiene acceso físico al equipo. Estos problemas se suelen
> minimizar en un desktop de uso personal, y en las laptops que
> implementan contraseña para acceder a los discos duros.

Sí, la idea del porqué es conveniente que no sea legible por cualquier usuario 
la tengo, e imagino que es la misma que tendrá cualquiera. Lo que no sé a 
ciencia cierta, es que sentido tiene en Debian. Me explico.

En un cursillo de seguridad, el profe comenta la importancia de proteger el 
cargador de arranque con un password, y como hacerlo. Comenta que en Debian 
los permisos del menu.lst no son correctos si pones una contraseña, y que no 
entiende porqué no lo han arreglado.

Yo en casa veo que el bug está reportado, y que no tiene ninguna respuesta, ni 
en un sentido, ni en otro. Entonces me pregunto si es que en realidad no es 
un fallo de seguridad (porque inicialmente no hay contraseña), y tan sólo es 
conveniente que tenga permisos 600, o si verdaderamente es un fallo de 
seguridad, y es recomendable avisar al equipo de seguridad.

Voy a optar por enviar un mensaje al BTS sin hacer mucho ruido, y que juzguen 
los mantenedores ellos mismos.

Saludos.

-- 
Alex (a.k.a. suy) - GPG ID 0x0B8B0BC2
http://barnacity.net/ - Jabber ID: suy@bulmalug.net



Reply to: