Veilige modus in zonder root

[Daimanta]

Ik gebruik nu al een tijdje Ubuntu en ik vind het veiligheidsaspect een van de beter facetten van dit OS. Het probleem is echter dat je standaard root bent als je in de veilige modus gaat. Nu heb ik niks tegen de veilige modus maar ik zou het prettiger vinden als een wachtwoord wordt gevraagd of dat je in een account wordt ingelogd zonder privileges.

[Johan van Dijk]

Je kan een wachtwoord instellen in menu.lst:

Code: [Selecteer]

## password ['--md5'] passwd
# If used in the first section of a menu file, disable all interactive editing
# control (menu entry editor and command-line)  and entries protected by the
# command 'lock'
# e.g. password topsecret
#      password --md5 $1$gLhU0/$aW78kHK1QfV3P2b2znUoe/
# password topsecret

[Daimanta]

Hoe werkt dat dan precies? Is dat alleen voor veilige modus accounts of voor allemaal? Hoe moet ik dat er tussen proppen? In de entries of iets dergelijks?

[Johan van Dijk]

http://ubuntuguide.org/wiki/Ubuntu_Edgy#How_to_disable_all_interactive_editing_control_for_GRUB_menu
http://www.gnu.org/software/grub/manual/html_node/Security.html#Security

In het kort:
voor het commando grub-md5-crypt uit.
Hij gaat dan vragen voor een wachtwoord.
Typ dat 2x in, dan geeft hij daarna een md5 hash.
Kopieer die.

Open nu menu.lst:
sudo gedit /boot/grub/menu.lst

Voeg onder # password topsecret de volgende regel toe:
password --md5 de-md5-hash-die-je-net-gekopieerd-hebt

Nu kan je ieder menu-item die je wil beveiligen met een wachtwoord:
Voeg na de titel het woordje lock toe op een nieuwe regel, zoiets als dit:

Code: [Selecteer]

    title Boot DOS
     lock
     rootnoverify (hd0,1)
     makeactive
     chainload +1Dat menu-item is nu beveiligd door een wachtwoord.

[Daimanta]

Ik ben er nu bijna doorheen, ik heb nog een laatste probleem. Ik kan nu niets meer editen zonder password maar het probleem is dat ik nu niet meer kan inloggen op de gelockte entries. Een wachtwoord ingeven is dan geen optie(error 32: Geen authenticatie). Is dat nog te realiseren?

[Johan van Dijk]

Geen idee.
Je kan nog wel opstarten met het menu-item die je niet gelocked hebt?

Volgens de site:

This will make it so your grub console will require a password to edit the lines, and the recovery modes won't work unless the password is typed. To access the other grub options at the menu, follow the instructions at the bottom of the screen. It will be something like pressing p and typing your password.

Plaats hier ook even je complete menu.lst

[siegi]

Dit heb je ook bij een standaard installatie van windows, dat je als administrator kan inloggen in veilige modus zonder wachtwoord.
Als je er zelf geen hebt opgezet.  
Het probleem komt niet meer voor als je root een wachtwoord geeft.  sudo passwd.  Maar bij ubuntu blijken ze dat niet standaard te doen. Bij de meeste andere distributies wel.

[Daimanta]

# menu.lst - See: grub(8), info grub, update-grub(8)
#            grub-install(8), grub-floppy(8),
#            grub-md5-crypt, /usr/share/doc/grub
#            and /usr/share/doc/grub-doc/.

## default num
# Set the default entry to the entry number NUM. Numbering starts from 0, and
# the entry number 0 is the default if the command is not used.
#
# You can specify 'saved' instead of a number. In this case, the default entry
# is the entry saved with the command 'savedefault'.
# WARNING: If you are using dmraid do not change this entry to 'saved' or your
# array will desync and will not let you boot your system.
default      0

## timeout sec
# Set a timeout, in SEC seconds, before automatically booting the default entry
# (normally the first entry defined).
timeout      20

## hiddenmenu
# Hides the menu by default (press ESC to see the menu)
#hiddenmenu

# Pretty colours
#color cyan/blue white/blue

## password ['--md5'] passwd
# If used in the first section of a menu file, disable all interactive editing
# control (menu entry editor and command-line)  and entries protected by the
# command 'lock'
# e.g. password topsecret
password --md5 $1$R5R/u1$S7PrqL7.KiOfXzIJ5tR/M/ ## de goede
# password --md5 $1$gLhU0/$aW78kHK1QfV3P2b2znUoe/
# password topsecret

#
# examples
#
# title      Windows 95/98/NT/2000
# root      (hd0,0)
# makeactive
# chainloader   +1
#
# title      Linux
# root      (hd0,1)
# kernel   /vmlinuz root=/dev/hda2 ro
#

#
# Put static boot stanzas before and/or after AUTOMAGIC KERNEL LIST

### BEGIN AUTOMAGIC KERNELS LIST
## lines between the AUTOMAGIC KERNELS LIST markers will be modified
## by the debian update-grub script except for the default options below

## DO NOT UNCOMMENT THEM, Just edit them to your needs

## ## Start Default Options ##
## default kernel options
## default kernel options for automagic boot options
## If you want special options for specific kernels use kopt_x_y_z
## where x.y.z is kernel version. Minor versions can be omitted.
## e.g. kopt=root=/dev/hda1 ro
##      kopt_2_6_8=root=/dev/hdc1 ro
##      kopt_2_6_8_2_686=root=/dev/hdc2 ro
# kopt=root=UUID=2731c105-a9db-4c9e-8884-7e6a556cf8e3 ro
# kopt_2_6=root=/dev/sda3 ro

## default grub root device
## e.g. groot=(hd0,0)
# groot=(hd0,2)

## should update-grub create alternative automagic boot options
## e.g. alternative=true
##      alternative=false
# alternative=true

## should update-grub lock alternative automagic boot options
## e.g. lockalternative=true
##      lockalternative=false
# lockalternative=false

## additional options to use with the default boot option, but not with the
## alternatives
## e.g. defoptions=vga=791 resume=/dev/hda5
# defoptions=quiet splash

## should update-grub lock old automagic boot options
## e.g. lockold=false
##      lockold=true
# lockold=false

## altoption boot targets option
## multiple altoptions lines are allowed
## e.g. altoptions=(extra menu suffix) extra boot options
##      altoptions=(recovery) single
# altoptions=(recovery mode) single

## controls how many kernels should be put into the menu.lst
## only counts the first occurence of a kernel, not the
## alternative kernel options
## e.g. howmany=all
##      howmany=7
# howmany=all

## should update-grub create memtest86 boot option
## e.g. memtest86=true
##      memtest86=false
# memtest86=true

## should update-grub adjust the value of the default booted system
## can be true or false
# updatedefaultentry=false

## ## End Default Options ##

title      Ubuntu, kernel 2.6.17-11-generic
root      (hd0,2)
kernel      /boot/vmlinuz-2.6.17-11-generic root=/dev/sda3 ro quiet splash
initrd      /boot/initrd.img-2.6.17-11-generic
quiet
savedefault
boot

title      Ubuntu, kernel 2.6.17-11-generic (recovery mode)
lock
rootnoverify      (hd0,2)
kernel      /boot/vmlinuz-2.6.17-11-generic root=/dev/sda3 ro single
initrd      /boot/initrd.img-2.6.17-11-generic
boot

title      Ubuntu, kernel 2.6.17-10-generic
lock
rootnoverify      (hd0,2)
kernel      /boot/vmlinuz-2.6.17-10-generic root=/dev/sda3 ro quiet splash
initrd      /boot/initrd.img-2.6.17-10-generic
quiet
savedefault
boot

title      Ubuntu, kernel 2.6.17-10-generic (recovery mode)
lock
rootnoverify      (hd0,2)
kernel      /boot/vmlinuz-2.6.17-10-generic root=/dev/sda3 ro single
initrd      /boot/initrd.img-2.6.17-10-generic
boot

title      Ubuntu, memtest86+
root      (hd0,2)
kernel      /boot/memtest86+.bin
quiet
boot

### END DEBIAN AUTOMAGIC KERNELS LIST

# This is a divider, added to separate the menu items below from the Debian
# ones.
title      Other operating systems:
root


# This entry automatically added by the Debian installer for a non-linux OS
# on /dev/sda1
title      Windows NT/2000/XP (loader)
root      (hd0,0)
savedefault
makeactive
chainloader   +1

[Johan van Dijk]

password --md5 $1$R5R/u1$S7PrqL7.KiOfXzIJ5tR/M/ ## de goede

Even de hekjes en commentaar weghalen.
Volgens mij pikt grub geen commentaren die halverwege een regel beginnen.
Hij denkt dus dat je het verkeerde wachtwoord hebt ingevuld.

[Daimanta]

password --md5 $1$R5R/u1$S7PrqL7.KiOfXzIJ5tR/M/ ## de goede

Even de hekjes en commentaar weghalen.
Volgens mij pikt grub geen commentaren die halverwege een regel beginnen.
Hij denkt dus dat je het verkeerde wachtwoord hebt ingevuld.

Geprobeerd en werkt niet.

[Johan van Dijk]

Ik zou het eigenlijk niet weten waarom het niet werkt...
Volgens de tutorials en de documentatie van grub zou het gewoon moeten werken.

Echte veiligheid kan je trouwens nooit krijgen, tenzij je je computer in een kluis zet.
Zodra iemand fysiek bij je computer kan, dan hij alles.
Met een live cd kan iedereen overal bij.

[Daimanta]

Ok, ik heb het werkend gekregen. Het verwijderen van het commentaar bleek wel voldoende te zijn. Met de commentaar erin ging hij namelijk naar de grub-commandline maar nu wordt alles gewoon goed vrijgeschakeld. Ik dank alle mensen hartelijk die naar mijn probleem hebben gekeken en mee hebben gedacht aan de oplossing.

[Johan van Dijk]

Mooi dat je het aan het werk hebt gekregen

Ik ben eigenlijk wel benieuwd waarom je grub zo wil beveiligen...
Heb je vervelende huisgenoten of familie die nog wel eens de boel slopen?

[Daimanta]

Mooi dat je het aan het werk hebt gekregen

Ik ben eigenlijk wel benieuwd waarom je grub zo wil beveiligen...
Heb je vervelende huisgenoten of familie die nog wel eens de boel slopen?

Niet echt, ik vind gewoon dat je een systeem enigzinds veilig moet opbouwen en dit is er een onderdeel van. Op zich is Windows hier nog strakker in aangezien je daar bij de admin-account een wachtwoord moet geven als die bestaat. Ook is het veel te makkelijk om root te worden in Ubuntu . Je hoeft alleen maar het juiste item uit de lijst te pakken en boem, je bent root.

[siegi]

fout windows heeft voor de administrator standaard ook geen wachtwoord.  In het begin maakt je bij windows een eigen gebruiker aan bv siegie deze heeft admin rechten.
Maar je kan nog altijd inloggen als administrator via veilige modus in windows.  
Dit kan bij ubuntu ook.  Dus beide systemen zijn op dat vlak even veilig of niet veilig.
In kan je simpel root een wachtwoord geven zodat je ook in veilige modus een wachtwoord moet ingeven dit doe je met het commando sudo passwd .  In windows gaat dit ook natuurlijk.
OP zich onderscheid ubuntu zich zo van de rest want de meeste distributies hebben wel standaard een root wachtwoord.  
Dus die zijn op dat vlak veiliger.

[Johan van Dijk]

OP zich onderscheid ubuntu zich zo van de rest want de meeste distributies hebben wel standaard een root wachtwoord.  
Dus die zijn op dat vlak veiliger.

Op andere vlakken zijn die distro's weer onveiliger.
Daar hoef je alleen maar het wachtwoord van root te achterhalen.
Je weet dan namelijk 100% zeker dat de administrator inlogt als root.
In Ubuntu heeft root geen wachtwoord, dus moet je eerst de gebruikersnaam achterhalen, en daarna nog een keer het wachtwoord.

[Jelle]

Echte veiligheid kan je trouwens nooit krijgen, tenzij je je computer in een kluis zet.
Zodra iemand fysiek bij je computer kan, dan hij alles.
Met een live cd kan iedereen overal bij.

Toch kun je dat behoorlijk dichttimmeren, lijkt me.
1) een wachtwoord op de veilige modus of idd gewoon root een wachtwoord geven.
2) de bios zo instellen dat de pc opstart vanaf de harde schijf en niet vanaf cd.
3) de bios beveiligen met een wachtwoord (dat kan toch??)

Dan kan niemand zonder jouw toestemming zomaar een live cd starten.

[Johan van Dijk]

Toch kun je dat behoorlijk dichttimmeren, lijkt me.
1) een wachtwoord op de veilige modus of idd gewoon root een wachtwoord geven.
2) de bios zo instellen dat de pc opstart vanaf de harde schijf en niet vanaf cd.
3) de bios beveiligen met een wachtwoord (dat kan toch??)

Dan kan niemand zonder jouw toestemming zomaar een live cd starten.

1) Met een live-cd kan je overal bij. Zonder wachtwoord.
2) Als je bij de computer kan, dan kan je de BIOS aanpassen.
3) Open de kast, verplaats 1 jumpertje en het wachtwoord is foetsie

[siegi]

bedrijven beveiligen tegenwoordig hun computer met encrypted hard drive.
Dit lijkt me ook de enige fatsoenlijke manier van beveilligen.
Maar als je fysische toegang hebt tot de computer is veel mogelijk. Daar kan je maar weinig tegen doen.

[Jelle]

2) Als je bij de computer kan, dan kan je de BIOS aanpassen.
3) Open de kast, verplaats 1 jumpertje en het wachtwoord is foetsie

Waterdicht wordt het natuurlijk niet, maar je ben dan iig al zover dat iemand die fysiek bij je computer kan het ding eerst moet openschroeven om het bios wachtwoord te omzeilen.
Je kunt dan tenminste rustig iemand 10 minuten zonder toezicht op je pc laten werken.

Tegen een inbreker die je PC gewoon meeneemt ben je niet zo snel veilig. Maar het default systeem met onbeveiligde "veilige" modus kun je in 3 minuten om zeep helpen.

Kortom, het is net als met auto inbraken. Je kunt het niet voorkomen, maar je kunt wel zorgen dat het voor de gelegenheidsdief te tijdrovend wordt.