Linux에는 루트 비밀번호를 재설정하는 방법이 있습니다. 이것이 허용되는 이유는 무엇입니까?
물리적 시스템에 액세스할 수 있는 사람은 누구나 루트 비밀번호를 변경할 수 있습니다.그것을 모르고.
이런 일이 발생하지 않도록 하는 방법이 있나요?
답변1
물리적인 조작이기 때문에극도로방어하기 어려움.
보안과 편의성 사이에는 항상 균형이 있습니다.
물리적 액세스로 인해 소프트웨어 수준의 보호가 불가능합니다.
그렇다면 왜 사용자에게 불편을 끼치는 걸까요? 무슨 일이 있어도 해커를 막기 위해 할 수 있는 일은 없습니다.
- 물리적으로 접근할 수 있는 해커라면 "죄송합니다. 비밀번호가 없습니다."라고만 말하면 잠그지 않고,
- 컴퓨터의 합법적인 사용자인 경우 암호 재설정을 거부하면 상황이 훨씬 더 어려워집니다.
이를 방지하려면:
신뢰할 수 없는 사람이 귀하의 컴퓨터에 물리적으로 접근하는 것을 허용하지 마십시오.
예, 디스크를 암호화할 수 있습니다. 하지만 신뢰할 수 없는 사람에게 정기적으로 물리적 접근을 허용하면 게임이 종료됩니다.그래도.
답변2
Linux에서는 루트 액세스 권한이 있는 경우 이를 방지할 방법이 없고 방지할 이유가 없기 때문에 루트 재설정을 허용합니다. 루트 액세스는 모든 작업을 수행할 수 있는 권한이 있음을 의미합니다. 모든 것에는 루트 비밀번호 변경이 포함됩니다. 루트 비밀번호를 변경하는 데 루트 비밀번호가 필요하지 않습니다. 루트 계정에 대한 액세스 권한만 얻으면 됩니다. 다른 방식으로 루트 계정에 액세스할 수 있는 경우 루트가 다시 액세스할 수 있으므로 루트 비밀번호를 변경할 수 있습니다. 아무것.
이는 논리적으로 불가능하기 때문에 이를 방지할 수 있는 방법이 없습니다. 모든 작업을 수행할 수 있으면 루트 비밀번호를 변경할 수 있습니다. 누군가에게 제한된 액세스 권한을 부여하고 루트 비밀번호 변경을 허용하지 않는 것이 가능하지만 루트 액세스 권한이 없고 권한이 없는 계정만 갖게 되는 경우도 있습니다.
Linux 자체는 일반적으로 물리적 액세스가 있는 경우 루트 액세스를 허용하지 않습니다. 이것이 그 특징 중 하나이다.부트 로더: 부팅 시 콘솔에 액세스할 수 있는 사람이 특수 복구 모드를 요청할 수 있으며, 이 복구 모드의 작동 방식에 따라 인증 없이 루트 액세스가 허용될 수도 있습니다. 복구 모드는 부팅 중에 일반 부팅과 다른 프로그램 세트를 시작하도록 Linux에 지시하여 작동합니다(일반 부팅에는 로그인 프롬프트를 포함한 많은 서비스가 포함됨). 가장 "극단적인" 복구 모드는 init=/bin/sh
커널 명령줄에 추가되어 Linux에 다음을 수행하도록 지시합니다. 콘솔에서 루트 쉘을 실행하면 그게 전부입니다.
복구 모드를 비활성화하거나 비밀번호로 보호할 수 있습니다. 이렇게 하면 콘솔 액세스 권한이 있는 사람이 인증할 수 없으면 루트 액세스 권한을 얻을 수 없습니다. 이는 BIOS 구성을 변경하여 우회할 수 있으므로 효과적인 보호를 위해 BIOS 구성도 잠가야 합니다(암호를 입력하지 않고 부팅 장치를 변경하거나 BIOS 구성을 변경하는 것을 방지).
이는 누군가 키보드에 접근하는 것을 방지하기에 충분하지만, 컴퓨터 자체에 물리적으로 접근하는 사람은 방지할 수 없습니다. 하드 드라이브를 꺼내서 다른 컴퓨터에 설치하고 필요에 따라 파일을 검사하고 변경할 수 있습니다. 이런 일이 발생하지 않도록 하려면 비밀번호 확인이 도움이 되지 않습니다. 즉, 소프트웨어가 실행되고 있지 않습니다. 하드 드라이브를 암호화하면 이를 방지할 수 있습니다. 그런 다음 시스템을 재부팅하여 액세스하려면 공격자가 암호화 비밀번호를 알아야 합니다(또는 암호화 키가 있는 스마트 카드를 삽입해야 합니다). 이 작업의 실질적인 단점은누구암호화 비밀번호를 입력하거나 카드를 삽입해야 합니다. 유용한 암호화 및 무인 부팅을 사용할 수 없습니다.
답변3
Linux에는 루트 비밀번호를 재설정하는 방법이 있습니다. 이것이 허용되는 이유는 무엇입니까?
이 진술은 정확하지 않습니다. 설계 선택으로 인해 이는 많은 GNU/Linux 배포판에 적용되지만 Linux 커널에는 적용되지 않습니다.
물리적 접근을 통해서도 변조 방지가 가능한 Linux 기반 장치를 구축할 수 있습니다. 이것이 Android 휴대폰이나 태블릿의 기본 아이디어입니다.
설치 시 암호화된 디스크 볼륨을 사용하여 데스크톱 또는 노트북 Linux 시스템에 변조 방지 수준을 제공할 수 있습니다. 부팅할 때마다 루트 파일 시스템을 마운트하려면 올바른 비밀번호를 제공해야 합니다. (따라서 사용자 정의 커널 매개변수를 사용하는 것처럼 부팅 프로세스를 제어할 수 있다고 해서 시스템에 액세스할 수 있는 것은 아닙니다.)
답변4
chroot의 비밀번호 변조 및 덮어쓰기를 방지하려면 디스크를 암호화하세요. 오늘날 많은(또는 대부분의) 배포 설치 프로그램은 암호화된 디스크 기능을 제공합니다.
분명히, 디스크 암호를 잊어버리면 디스크가 벽돌이 되고 이에 대해 할 수 있는 일이 전혀 없습니다.