Onmmogelijk maken dat het pa(ss)wd gewijzigd wordt

[Cme]

Hoi,
Iedereen met een beetje Linux kennis kan in een ommezwaai de computer overnemen, omdat het relatief eenvoudig is het paswoord te veranderen. Ik denk aan een thuissituatie.

Is het dan mogelijk om te zorgen dat dit niet kan?
Mijn dank,
Cme

[Bloom]

Het hangt van het niveau van kennis af.
Je kunt beginnen met andere mensen in huis geen sudo-mogelijkheden te geven.
Als ze fysieke toegang hebben tot de computer die je wil beschermen, kun je de optie uitschakelen in Grub die de rescue-modus voorziet. Maar in principe moet je daarvoor toch het rootwachtwoord opgeven en als ze dat niet kennen, stopt het daar.
Maar: er kan uiteraard ook geboot worden vanaf een usb-stick met live desktop, een chroot opzetten naar de harde schijf toe en dan ben je dus root en kun je paswoorden wijzigen zoveel je maar wil. Dat kun je alleen verhinderen door booten vanaf usb uit te schakelen in het BIOS-menu en dat menu dan van een paswoord voorzien zodat onbevoegden er niet meer in kunnen en niets kunnen wijzigen. Dan zou de enige andere optie zijn om de computer uit te schakelen, die open te schroeven, de bootschijf eruit te halen en via een sata-naar-usbverloopding aan te sluiten op een eigen computer. Dan kun je weer chrooten en doen wat je wil. Sommige computerkasten hebben een mogelijkheid om een indringeralarm te laten horen zodra de kast geopend wordt. Dat zul je dan moeten instellen. De computer opstellen in een kast die afgesloten kan worden in een andere optie. Dat is het zowat, denk ik.

[peer]

Tegenwoordig kun je toch de hele schijf versleutelen??

[Cme]

Het hangt van het niveau van kennis af.
Maar: er kan uiteraard ook geboot worden vanaf een usb-stick met live desktop, een chroot opzetten naar de harde schijf toe en dan ben je dus root en kun je paswoorden wijzigen zoveel je maar wil. Dat kun je alleen verhinderen door booten vanaf usb uit te schakelen in het BIOS-menu en dat menu dan van een paswoord voorzien zodat onbevoegden er niet meer in kunnen en niets kunnen wijzigen.

Ha Bloom, dank voor je reactie.
BIOS beveiliging lijkt nogal drastisch en komt waarschijnlijk telkens bij het opstarten naar voren?

Is er geen mogelijkheid om GRUB te beveiligen? Of een O.S. of een partitie?

Ik vertrouw dat 'anderen' hier in huis niet de onbeschaafdheid hebben de kast open te breken.
Niemand weet wat de toekomst brengt en openstelling van de computer mag niet betekenen dat het een overname wordt()

[partyrabbit]

Je kunt beginnen met andere mensen in huis geen sudo-mogelijkheden te geven.

Inderdaad hoe wij het hier doen (trouwens ook al daarvoor met win).
Ieder gezinslid heeft zijn eigen gebruiker. Visite kan daarop mee liften, en soms maken we daar een (tijdelijk) apart account voor aan (omdat de gast-account er niet meer is in 18).
En één gebuiker, ik, is beheerder. En op mijn account komt niemand in de pc als alleen ik.

Op hun persoonlijke pc's zijn de hoofdgebruikers (kids) zelf beheerder. Maar daarnaast maak ik ook altijd een beheerder-account aan voor mezelf (reserve, voor als ze iets verklooien).
En de kids zelf hebben nog een niet-beheerder account waar ze het gewone werk op doen. Hun beheerder-account wordt alleen gebruikt voor beheer. Op deze manier kan bv op school niet zomaar iemand iets aanrichten mocht deze stiekem in dat account aan de gang kunnen.
Op deze manier kan er hooguit met een gebruiker iets fout gaan, maar niet met de gehele pc.

Hoop dat je er iets nuttigs voor jezelf uit kunt halen.

Trouwens nog een leuk (belangrijk?) 'weetje' waar ik ooit bewust van ben geworden door een topic hier van Pjotr.
Tip: zorg dat andere gebruikers niet bij de bestanden in jouw account kunnen
https://forum.ubuntu-nl.org/index.php?topic=97383

[Bloom]

BIOS beveiliging lijkt nogal drastisch en komt waarschijnlijk telkens bij het opstarten naar voren?

Nee, je beveiligt alleen het oproepen van de BIOS-instellingen met een paswoord. Booten van de harde schijf kun je dan nog steeds zonder paswoord tot het login-scherm van Linux.
Je moet in het BIOS uiteraard ook niet vergeten de optie om het bootmenu te tonen uit te schakelen, anders kan iemand nog steeds kiezen van usb te starten.

Is er geen mogelijkheid om GRUB te beveiligen? Of een O.S. of een partitie?

Je kunt de bootschijf versleutelen, dan kun je er niet meer aan als de computer gestart is vanaf een usb-schijf of -stick. Maar dat is beslist niet voor novices geschikt om zich daaraan te wagen. Als je het verkeerd doet, start je pc niet meer op en ben je zelf buitengesloten. Dan mag je volledig herinstalleren.
Grub heeft geen beveiiging voorzien, maar je kunt wel de time-out van het menu op 1 seconde zetten, dan moeten ze al HEEL vlug zijn om de doorstart te belemmeren en het Grub menu te kunnen doorstruinen. Vanuit een gestart systeem kan een gewone gebruiker zonder sudo-rechten Grub niet wijzigen.

[partyrabbit]

Ik vertrouw dat 'anderen' hier in huis niet de onbeschaafdheid hebben de kast open te breken.
Niemand weet wat de toekomst brengt en openstelling van de computer mag niet betekenen dat het een overname wordt()

Waar zou je daar dan inderdaad bang van zijn? Gaat dit om gezinsleden?
Met onze kinderen is dit gewoon duidelijk besproken en dat is gewoon altijd gerespecteerd. Zowel vroeger toen het nog kleintjes waren als nu. En wederzijds, want de kids hebben nooit vreemde dingen gedaan (ondanks enige incidentele controle, waaronder router logs e.d.).
Heeft ook niets met wantrouwen te maken maar met consistentie van de werking en veiligheid van de pc, en dat snapt iedereen hier.
En een buitenstaander kan hier weinig (tot niets). Nergens in, niets installeren (spyware of zo). En al helemaal niets wat ik niet kan herstellen, dus volledig kapen zeker niet.

Bios wachtwoord is zeker ook niet heilig. De bios chip (in een pc) is héél simpel en behoorlijk snel te resetten naar fabrieksstand (dus weg ww). Daar zit weinig (geen) bescherming in.
Logt nu iedereen in op één account? Maak een extra account genaamd Admin en maak die exclusief beheerder (en die oudere gebruiker). Kan iedereen op die andere gewoon verder werken, en mocht iemand het ww van die gebruiker wijzigen dan kan de Admin daar altijd gewoon in en/of ww weer herstellen. Dan alleen nog discreet omgaan met het ww van Admin. En kijk ook even naar die Pjotr-link.

Waar het misschien clusters bestanden betreft die je niet doorlopend nodig hebt (??) zou je kunnen denken aan een ww beveiligd zip bestand? Maar ook dat is niet zo ingewikkeld te cracken (kost wel kennis, moeite en op zijn minst tijd). In elk geval wel een behoorlijke hindernis om "even vlug te spieken". Maar niet een antwoord op jouw vraag.

Voor je vraag ...  Dan denk ik dat je met een goed gebruikers-beheer (admin, gebruikers) wel bereikt wat jij wilt bereiken in je vraagstelling. En makkelijk.

[h2o]

Wat ik in het verleden deed toen mijn kids nog thuis woonden was het volgende:
Geen sudo en voor iedere gebruiker een loop device aanmaken die gekoppeld waren aan hun /home (die feitelijk dus leeg was) via /etc/fstab.
Al die eigen home directories waren alleen  door henzelf en de root toegankelijk.
En ook (zoals Bloom het beschrijft) het BIOS met een wachtwoord beveiligen en verder de USB devices de laatste en laagste opstart mogelijkheden geven.

Vooral die loop devices waren prima, feitelijk bestanden van enkele GB's zodat ze ook niet de hele schijf vol konden zetten en zelf hun spullen moesten opruimen en bijhouden. Daar leren ze ook van.

[partyrabbit]

En ook (zoals Bloom het beschrijft) het BIOS met een wachtwoord beveiligen en verder de USB devices de laatste en laagste opstart mogelijkheden geven.

Die moeite hoef je niet meer te doen in een pc. Dat ww ligt er in 5 minuutjes uit met de dippers. En een half uurtje zonder dippers. Dat gaat een (beginnend) 'hacker' niet tegenhouden.
En in een laptop kan het een heel duur tot onmogelijk (je koopt dan zomaar geen nieuwe bios chip) grapje worden mocht je het ww vergeten (je zult niet de eerste zijn)

En laatste opstart kan voor jezelf ook nog ongemakkelijk uitpakken, want is nog weleens handig bij een crash. Ook niet nodig als de bestanden al onbereikbaar beveiligd zijn.

Dus dat zijn een paar dingen die ik toch anders aan zou pakken, en in beginsel de bestanden gewoon goed afschermen.

[Cme]

En ook (zoals Bloom het beschrijft) het BIOS met een wachtwoord beveiligen en verder de USB devices de laatste en laagste opstart mogelijkheden geven.

Die moeite hoef je niet meer te doen in een pc. Dat ww ligt er in 5 minuutjes uit met de dippers. En een half uurtje zonder dippers.

Dippers?

[Cme]

Nee, je beveiligt alleen het oproepen van de BIOS-instellingen met een paswoord. Booten van de harde schijf kun je dan nog steeds zonder paswoord tot het login-scherm van Linux.
Je moet in het BIOS uiteraard ook niet vergeten de optie om het bootmenu te tonen uit te schakelen, anders kan iemand nog steeds kiezen van usb te starten.

Het BIOS beveiligen met een wachtwoord lijkt dan de beste optie, ik had echter begrepen dat bij "opstarten" dit iedere keer gevraagd wordt en dat is natuurlijk niet de bedoeling.
@Bloom ik ben daarom blij met je antwoord maar begrijp niet wat je dan moet "uitzetten".

Je moet in het BIOS uiteraard ook niet vergeten de optie om het bootmenu te tonen uit te schakelen,
anders kan iemand nog steeds kiezen van usb te starten.

Het BIOS bekeken, onder security is het mogelijk 3x het pwd in te stellen;
1) Administrator pwd
2) Hdd   - Master pwd +
   - User pwd
->Wat is het verschil tussen Adminstrator en Master?

-> Is ondanks zo'n BIOS ww. het heel makkelijk terug te gaan naar fabrieksinstellingen?

[partyrabbit]

Dippers?

Sorry. Dipswitches. Die zitten naast de CMos chip (=bios). Daarmee reset je de bios (=verwijderen ww, in 5 minuutjes incl kast openen).

Het BIOS beveiligen met een wachtwoord lijkt dan de beste optie

Zoals ik al zei is dit schijnveiligheid. Beveiligd niets. 5 minuten.
En in een laptop. Mocht je ooit je wachtwoord vergeten, en je zult echt niet de eerste zijn, dan kun je je laptop weg gooien want je koopt niet zomaar even een nieuwe bios-chip van een laptop (been there, tried that, didn't done that). En als je er al een mag kopen zijn ze duurder dan je verouderde laptop.

Maar als dat je keuze is ... uiteraard helemaal prima. Niet aan mij om het iemand uit zijn hoofd te praten. Ik geef slechts aan dat de toegevoegde waarde laag is in je vraagstelling.

-> Is ondanks zo'n BIOS ww. het heel makkelijk terug te gaan naar fabrieksinstellingen?

Ja dus Te makkelijk  Zowel softwarematig (in de bios instelling zelf) als hardwarematig (de dippers, en dan ook nog zonder dippers).
Bij een laptop juist niet, maar dat kan je dus je laptop kosten bij vergeten ww. Dan is je laptop zo goed beveiligd dat je er zelf onmogelijk nog in kunt.

Tegen wie het niet geloofd zeg ik:
Bij pc, google of duck maar even naar 'wachtwoord bios resetten' of 'wachtwoord bios vergeten'.
Bij laptop: bel maar eens rond naar de verkrijgbaarheid (en prijs) van de cmos voor jouw laptop. En ook de producent bellen, want als iemand het kan leveren....
En laat je verrassen.

[erik1984]

...
Je kunt de bootschijf versleutelen, dan kun je er niet meer aan als de computer gestart is vanaf een usb-schijf of -stick. Maar dat is beslist niet voor novices geschikt om zich daaraan te wagen. Als je het verkeerd doet, start je pc niet meer op en ben je zelf buitengesloten. Dan mag je volledig herinstalleren.
...

Daar geef ik je gelijk, in dat het iets is om mee op te passen voor beginners. Maar als je een simpele opstelling hebt met 1 schijf en Ubuntu mag die hele schijf mag omvatten dan is versleuteling helemaal niet ingewikkeld meer tegenwoordig. De installer biedt het gewoon aan als optie. Kwestie van een vinkje zetten: https://wiki.ubuntu-nl.org/InstallatieDesktop#InstallatieDesktopBionic.Schijfruimte_toewijzen. Je moet dan alleen het versleutelingswachtwoord niet kwijtraken (en nog meer dan normaal goed backups maken omdat data recovery moeilijker is)

[partyrabbit]

Maar de bestanden zijn toch al ww beveiligd op een ext4 Linux?
Als ik van pc A de externe back-up op pc B wil openen moet ik ook de gebruikersnaam met ww invoeren van pc A, het ww waaronder de bestanden aangemaakt zijn. Dat opent een standaard computeraar niet zomaar even zonder verdergaande handelingen.
Dat is dan toch al enigszins beveiligd zo met gebruikerswachtwoord?

Of mis ik nu iets?

[Cme]

@PartyRabbit: Als je meerdere distro's hebt dan kan je/men via de ene distro (niet als Gast) heel makkelijk op de andere distro 'werken'.
Voor de 1 een voordeel maar soms is dat .gewoon niet de bedoeling

Je verwees me naar Map bescherming: https://forum.ubuntu-nl.org/index.php?topic=97383 om een bepaalde map wil afschermen:    

Code: [Selecteer]

mkdir prive
chmod 700 priveGraag uitleg over het volgende: heb de map prive gemaakt, alles afgesloten en via een andere distro (op dezelfde computer) de map benaderd,
Via Bestandssysteem/Home/enz. De map met inhoud was gewoon te openen. Ik had dit niet verwacht!

Ik weet dat een versleutelde map dat waarschijnlijk wel biedt maar waarom lukt dit niet op bovenstaande manier met chmod 700?

[MKe]

Wat veel mensen niet weten is dat eigendom van files vast zit aan de UID en niet aan de usernaam. Zo heeft in Ubuntu de eerst aangemaakte user altijd UID 1000. Die kan op de ene installatie Pietje heten en op de andere Klaasje, maar het filesysteem ziet UID 1000 en denkt dus dat dit dezelfde users zijn. Elke installatie  zou eigenlijk zijn eigen unieke UIDs moeten hebben. Nog mooier is uiteindelijk om de users per netwerk aan te maken en centraal te koppelen aan uid. Dat wordt in bedrijven gedaan, vaak met een centrale LDAP server.

[peer]

als je op de terminal het command id ingeeft dan zie je het user ID

Code: [Selecteer]

peer@debian:~$ id
uid=1000(peer) gid=1000(peer) groups=1000(peer)..........................
peer@debian:~$
Als je bij beide distro's deze opdracht intoetst. Dan zul je waarschijnlijk zien dat er hetzelfde nummer staat (bij mij: 1000). En als de UID hetzelfde zijn dan is alles gewoon toegankelijk.

(zie ook de reactie van MKE)

[partyrabbit]

@PartyRabbit: Als je meerdere distro's hebt dan kan je/men via de ene distro (niet als Gast) heel makkelijk op de andere distro 'werken'.
Voor de 1 een voordeel maar soms is dat .gewoon niet de bedoeling

Je verwees me naar Map bescherming: https://forum.ubuntu-nl.org/index.php?topic=97383 om een bepaalde map wil afschermen:    

Code: [Selecteer]

mkdir prive
chmod 700 priveGraag uitleg over het volgende: heb de map prive gemaakt, alles afgesloten en via een andere distro (op dezelfde computer) de map benaderd,
Via Bestandssysteem/Home/enz. De map met inhoud was gewoon te openen. Ik had dit niet verwacht!

Ik weet dat een versleutelde map dat waarschijnlijk wel biedt maar waarom lukt dit niet op bovenstaande manier met chmod 700?

Geen idee. Is Pjotr zijn tip dus die kan waarschijnlijk betere uitleg geven.
Ik weet in elk geval wel dat na deze tip ik zelf geconstateerd heb dat 'beperkte gebruiker A' gewoon bij alle bestanden kon van gebruiker B, en C, en ...
Na het uitvoeren van deze chmod kon dat niet meer. Dus waar het dat betreft klopt de tip.
Dat chmodden geen wachtwoordbeveiliging betreft is mij bekend, dus dat het mogelijk onvoldoende beveiliging is zou mij niet verbazen.

Overigens is chmodden niets vreemds. Dat is geloof ik een unix commando. En dat dient in elk geval voor map-beveiliging. Dit wordt ook doorlopend toegepast in websites om bepaalde directories onbereikbaar te maken. Maar het heeft niets met wachtwoord te maken.

[MKe]

Geen idee. Is Pjotr zijn tip dus die kan waarschijnlijk betere uitleg geven.
Ik weet in elk geval wel dat na deze tip ik zelf geconstateerd heb dat 'beperkte gebruiker A' gewoon bij alle bestanden kon van gebruiker B, en C, en ...
Na het uitvoeren van deze chmod kon dat niet meer. Dus waar het dat betreft klopt de tip.
Dat chmodden geen wachtwoordbeveiliging betreft is mij bekend, dus dat het mogelijk onvoldoende beveiliging is zou mij niet verbazen.

Ik geloof dat Peer en ik daar al een verklaring voor hebben gegeven Ik vermoed dat partyrabbit dit binnen 1 installatie heeft gedaan en dan klopt het. Het verschil zit hem dus, zoals gezegd in het feit dat hier vanuit 2 verschillende installaties dezelfde map benadert wordt, waardoor verschillende gebruikers dezelfde UID hebben.

[partyrabbit]

Dan toch wel twee installaties op dezelfde pc denk ik.
Want ik kan vanuit een andere pc (netwerk) al helemaal niet bij gebruikersbestanden.

En als ik mijn bestanden als Admin middels bestandsdrager (ext4!!) van pc 1 overbrengt naar pc 2, waarop beiden de admin (ik) volgens mij toch allebei uid 1 heeft, kan ik ze toch niet openen zonder het juiste (bijbehorende)  wachtwoord.
En naar mijn mening is dat simpelweg verklaarbaar omdat beide admins andere wachtwoorden hebben.

Ben trouwens uit nieuwsgierigheid aan het testen gegaan met een USB stick en alle opties, dankzij dit topic. 

[MKe]

Dan toch wel twee installaties op dezelfde pc denk ik.
Want ik kan vanuit een andere pc (netwerk) al helemaal niet bij gebruikersbestanden.

En als ik mijn bestanden als Admin middels bestandsdrager (ext4!!) van pc 1 overbrengt naar pc 2, waarop beiden de admin (ik) volgens mij toch allebei uid 1 heeft, kan ik ze toch niet openen zonder het juiste (bijbehorende)  wachtwoord.
En naar mijn mening is dat simpelweg verklaarbaar omdat beide admins andere wachtwoorden hebben.

Ben trouwens uit nieuwsgierigheid aan het testen gegaan met een USB stick en alle opties, dankzij dit topic. 

over een netwerk, tussen twee computers hangt heel erg af van het gebruikte protocol. Dus of je nfs of samba gebruikt, waarbij nfs net zo reageert als EXT. Dat met de usb weet ik zo niet. Misschien hebben je gebruikers toch verschillende uid’s of behandeld Ubuntu USB anders? Dat is maar speculatie van me, ik heb nog nooit een USB met ext4 geformatteerd.

[partyrabbit]

over een netwerk, tussen twee computers hangt heel erg af van het gebruikte protocol. Dus of je nfs of samba gebruikt, waarbij nfs net zo reageert als EXT.

De persoonlijke mappen zijn niet eens zichtbaar om te benaderen.

Wat veel mensen niet weten is dat eigendom van files vast zit aan de UID en niet aan de usernaam. Zo heeft in Ubuntu de eerst aangemaakte user altijd UID 1000. Die kan op de ene installatie Pietje heten en op de andere Klaasje, maar het filesysteem ziet UID 1000 en denkt dus dat dit dezelfde users zijn.

Dat is dus niet als de gebruikersnamen/wachtwoorden niet gelijk zijn.

Dat met de usb weet ik zo niet. Misschien hebben je gebruikers toch verschillende uid’s of behandeld Ubuntu USB anders? Dat is maar speculatie van me, ik heb nog nooit een USB met ext4 geformatteerd.

Mij is hier uitgelegd dat gebruikers altijd met opvolgende UID aangemaakt, te beginnen bij 1 (en dat is altijd de admin). 1001 als ik het me goed herinner.
Hoe dan ook, ik kwam er niet in zonder de gebruikersgegevens (naam + ww) van de gebruiker welke de bestandsdrager gevuld had.
En dit viel ook nog voor met een bestandsdrager gevuld door meerdere gebruikers, waar bij het openen ook de verschillende bijbehorende gebruikersgegevens nodig waren.

En ik ben me er inmiddels zelf ook verder in aan het verdiepen om het ook voor mezelf helemaal duidelijk te krijgen  Ook al ontdekt dat er een ww ingesteld kan worden bij een ext4 formatering. Ook interessant.

Maar volgens mij gaan we veel te ver off topic??
Mijn advies aan CME blijft in elk geval zoals ik het in #4 uitgelegd heb. Dan beveilig je je pc volgens mij het beste tegen 'vijandige overname van binnenuit' 

@PartyRabbit: Als je meerdere distro's hebt dan kan je/men via de ene distro (niet als Gast) heel makkelijk op de andere distro 'werken'.
Voor de 1 een voordeel maar soms is dat .gewoon niet de bedoeling

Kwartje valt ineens bij mij 
Als dit zo is kun je dus altijd een gekaapt systeem terug 'veroveren' door een extra distri te installeren.
Een hersteloplossing mocht het zo ver komen bij CME

[Tom]

Ik vind Bloom zijn idee het beste ,ga je weg dan in de kast en afsluiten die hap.

[partyrabbit]

Dat komt toch op hetzelfde neer als "Beperkte gebruikers"? = geen root rechten.
Dan nog even dat chmod verhaal van Pjotr.
En klaar.
En al het andere is dan eigenlijk overbodig, en kan alleen maar hinderlijk uitpakken als je zelf een keer problemen op moet lossen.

Of mis ik iets?

[Cme]

Oke, terug naar Bloom. Andere gebruiker geen sudo recht geven. Als ik een 'Gast' Account maak, (op een al bestaande account) is het dan voldoende om de Gast gebruiker op 'standaard' te zetten?