Czy istnieje jakiś sposób na wymuszenie polecenia "Passwd", aby pytać o istniejące hasło za każdym razem?

Osobiście korzystam z Kali 2.0 Sana, który był systemem opartym na Debianie. Obecnie działa jako root użytkownik.

Jednym z najczęstszych problemów, z którymi borykam się, był każdy użytkownik, który ma fizyczny dostęp, może zmienić mój root hasło w ciągu kilku minut.

The passwd polecenie pozwala zrobić to bez istniejącego hasła, za każdym razem, gdy polecenie zostanie wykonane bez pytania o istniejące hasło.

The passwd polecenie było tylko przykładem, ale mogą istnieć ukryte sztuczki do zmiany hasła bez hasła użytkownika root,

Czy istnieje jakiś sposób zmuszenia systemu do zadawania istniejącego hasła przed zmianą hasła root?

Pojawiły się rozwiązania nietechniczne, ale szukały technicznych ulepszeń tego problemu.

W momencie, gdy ktoś ma fizyczny dostęp, włamanie do systemu jest banalne - mogą trafić cię w coś tak prostego, jak wejście tryb jednego użytkownika lub coś zabawnego konboot .

Mógłbym podejść do twojego systemu, zrestartować go i dostać się dość trywialnie.

Jednak nie jestem tu zagrożeniem. Ty jesteś.

Oczywiście bieganie wszystko jak root jest po prostu ... dobrze głupi. Pewne jest, że są pewne rzeczy, które wymagają rootowania, ale jeśli jedno z uruchomionych przez ciebie programów jest zagrożone (lub jeśli masz gruby palec rm -rf), nie masz swoich uroczych uprawnień do linuxa, by cię chronić. Heck, niektóre aplikacje zostały przypadkowo wyczyszczone cały system

Na początek przestań działać kali linux. Zacznij od główny nurt distro i zainstaluj go od podstaw. Ustaw odpowiedniego użytkownika z możliwością używania sudo i an zaszyfrowane katalog domowy. Aby uzyskać dodatkowy kredyt, wykonaj pełne szyfrowanie dysku.

To powinno trzymać ludzi lepiej niż jakakolwiek poprawka bandaida, którą chcesz zrobić.

Uważam, że funkcja, którą opisujesz, jest uważana za funkcja bezpieczeństwa .

Dla zwykłego użytkownika, zmieniając hasło robi wymagać podania aktualnego hasła do zmiany, podczas gdy nie ma czegoś takiego dla root.

Powodem jest to, że możesz utracić hasło roota, w którym to przypadku twój komputer byłby prawie nieużyteczny, gdyby zmiana hasła root wymagała znajomości aktualnego hasła.

Zamiast tego możesz uruchomić komputer z live distro, chroot na dysk twardy / SSD, zmienić hasło roota, a następnie wrócić do normalnego korzystania z urządzenia.

Konto root to nie wykonany do codziennego użytku z maszyny.

Nie. Nie można tego zrobić.

Polecenie "passwd" nie prosi użytkownika root o hasło.

Co możesz zrobić, co nie jest zalecane, to "mv" passwd do innej lokalizacji (passwd-orig) i utworzyć plik skryptu, który poprosi użytkownika o podanie hasła przed uruchomieniem "passwd-orig". Jednakże, jeśli dana osoba ma dostęp do wiersza poleceń i ma uprawnienia na poziomie root, mogą po prostu uruchomić "passwd-orig" bezpośrednio, tym samym uniemożliwiając próbę zabezpieczenia rzeczy w ten sposób.

A co z innymi sposobami zmiany hasła root'a? np. uruchamiając "vipw" lub bezpośrednio edytując plik tekstowy? Powodem, dla którego mówię, że nie możesz tego zrobić, jest zbyt wiele otwartych dziur. Jeśli spróbujesz podłączyć wszystkie, prawdopodobnie zaczniesz łamać inne funkcje, dlatego mówię, że nie możesz tego zrobić. To NIE jest właściwa droga do rzeczy.

Właściwa droga to przestać być "root" przez cały czas. Zamiast tego zacznij używać polecenia "sudo". Korzystnie, szeroko. np. "sudo cp", "sudo nano", itp. Ale jeśli to za dużo pracy, możesz po prostu "sudo $ {SHELL}", a następnie wpisać "exit" zanim odejdziesz. (Pamiętaj, że jeśli sudo poprosi Cię o podanie hasła, sudo może pamiętać, że jesteś uwierzytelniony, a następnie nie pytać o hasło dla kolejnych poleceń przez pewien czas, który domyślnie wynosi 10 minut.)

Jednym z typowych problemów, z jakimi borykam się, był każdy użytkownik, który ma fizyczny dostęp, może zmienić moje hasło roota w ciągu kilku minut.

Fizyczny dostęp, gdy system jest włączony, oznacza, że ​​wiele innych funkcji bezpieczeństwa jest bezużytecznych. Wymyśl sposób na fizyczne zablokowanie lub wyłączenie systemu, gdy w rzeczywistości go nie używasz.

Jeśli pozwalasz każdemu zalogować się do systemu jako root, przestań to robić. Uczyć się o sudo jeśli chcesz delegować możliwość uruchamiania określonych poleceń jako root dla innych użytkowników.

Jeśli ciągle uruchamiasz system jako root, przestań to robić. Uczyć się o sudo co pozwala na uruchamianie poleceń roota ze zwykłego konta w razie potrzeby bez niebezpieczeństwa, że ​​zostanie zalogowane jako root przez cały czas.

passwd nie wymaga istniejącego hasła dla root bo root zakłada się, że jest używany przez administratora systemu i ten administrator może potrzebować resetować hasła dla innych. root może bezpośrednio modyfikować /etc/passwd i /etc/shadow tak czy inaczej, byłoby to bezcelowe.