Am 10.09.2015 um 23:50 schrieb Michael Biebl: > Am 10.09.2015 um 23:46 schrieb Michael Biebl: >> Am 10.09.2015 um 23:40 schrieb Gerhard Wolfstieg: >>> Hallo Michael, hallo zusammen! >>> >>> Am Thu, 10 Sep 2015 23:25:21 +0200 >>> schrieb Michael Biebl <biebl@debian.org>: >>> >>>> Angenommen systemd ist aktiv, dann kannst du in grub diesen Parameter >>>> auf der kernel zeile anhängen "systemd.debug-shell" >>>> >>>> Das startet dir beim booten eine root debug shell auf tty9, *ohne* Passwort. >>>> Dort solltest du dann über "passwd" die Passwörter neu setzen können. >>> >>> Oh, hoppla! Ist das nicht eine riesige Sicherheitslücke? Kann man das >>> deaktivieren? >> >> Das ging ja im Prinzip vorher auch schon, z.B. wenn du mit >> init=/bin/bash gebootet hast. Ist also nichts neues. Die debug-shell ist >> nur etwas komfortabler. > > > Um deine Frage zu beantworten: Natürlich ist das eine Sicherheitslücke. > Wenn du die Rechner in einer Umgebung betreibst bei der Leute nicht > unberechtigt root Zugriff bekommen sollen, solltest du das editieren von > Grub-Einträgen ohne Passwort nicht erlauben. > > Genauso wie das automatische Booten von CD-Rom, USB-Stick etc. > BIOS sollte natürlich auch ein Passwort gesetzt haben. Als letzter Nachtrag noch: Im Fall von Birgit, wo die Partition (vermutlich per LUKS) verschlüsselt ist, bekommst du über die debug-shell natürlich *keinen* Zugriff ohne vorher den datenträger entsperrt zu haben. Aber soweit ich das richtig verstanden habe hat Birgit ja das Passwort zum Entsperren des LVVM crypt containers, nur das Root und User Passwort geht nicht. Michael -- Why is it that all of the instruments seeking intelligent life in the universe are pointed away from Earth?
Attachment:
signature.asc
Description: OpenPGP digital signature