Безопасность ubuntu.И почему так легко можно сменить пароль? [Решено]

[pitch736]

Приветствую вас,уважаемые форумчане и просто любители Linux'a...

Начну пожалуй с того,что сам не являюсь "продвинутым" пользователем оси,но тем не менее, не найдя ответа на свой вопрос,все-таки,решил создать данную тему.

Итак,в чем собственно дело.Случайно я наткнулся на статьи,в которых описывается вариант смены пароля,например, тут.
Вкртаце,там говорится о том,что если вы забыли свой пароль в ubuntu(например),то без особых проблем можете загрузиться в recovery mode.Примонтировать корень.И поменять пароль.И ВНИМАНИЕ.Система даже НЕ ПОПРОСИТ никакой пароль!Т.е. грубо говоря,если у вас есть физ доступ к ПК,то толку от паролей нету никаких,любой человек может получить полный доступ к системе.

Еще раз повторюсь,что я находил не мало инфы по этому поводу,но ,к сожалению,никакого четкого решения этой проблемы(а как по мне это все-таки проблема ) я найти не смог,особенно для "неопытного" пользователя.

В итоге,что тут можно сделать:

-пересобрать самому ядро
    Да,наверное,как вариант идеален,но в плане реализации это сделать не так легко,особенно новичку.

-поставить пароль на BIOS/GRUB;отключить возможнолсть загрузки с CD/DVD
    Вариант хороший,НО в данном случае вся ответственность ложится на BIOS,ну ,а по мне-это не самая "защищенная" програмная часть ПК.Начиная от стандартных паролей разработчиков,заканчивая вытаскиванием батарейки и программатора

-шифровка корня
    Также не самый легкий вариант,и не знаю на сколько рабочий метод.Лично я попробовал это сделать,но не вышло...

Итого,у меня есть 2 глобальных вопроса по этому поводу:
  1.{оставляя все как есть} Насколько это будет безопасно?И какова вероятность удаленно попытаться подключиться напрямую туда(без физ доступа к устройству),в терминал ядра так скажем.да,возможно написал глупость  ,но тот факт,что система разрешает сменить пароль так легко не вызывает особого доверия 
  2.{пытаяюсь что-то поменять} Какой способ тут будет самый легкий для новичков,чтобы делать не очень много действий? ведь не у всех ПК,к которым доступ можно гарантированно закрыть.Кто-то пользуется ноутбуками,и в случае потери,что?Данные доступны?

Спасибо,кто дочитал весь этот текст)Буду рад любым вашим комментариям,касательно этой темы!И опять же сразу извиняюсь,если считаете,что это дикий баян,возможно я и вправду что-то банально упускаю,если да,то ткните пожалуйста пальцем

  P.S. Я конечно понимаю,что при физ доступе можно много,что натворить,но хоть какая-то степень защита от "дурачка" должна быть

 

[Pilot6]

От физического доступа практически никак не защититься, поэтому это и не нужно.
Для защиты данных при локальном доступе поможет только шифрование. Корень шифровать незачем, но вполне реально.

Тут даже обсуждать особо нечего.

От удаленного доступа всё вполне безопасно и так.

[bezbo]

наткнулся на статьи,в которых описывается вариант смены пароля,например, тут.

статью прочитали до конца или только первый абзац?

Если вы хотите чтобы никто не смог получить доступ к вашему паролю нужно использовать шифрование всего диска, например, LUKS.

[zg_nico]

Система даже НЕ ПОПРОСИТ никакой пароль!

Ужасну Вас еще больше: загрузите систему с параметром ядра single (доступно даже там, где все эти recovery mode не предусмотрены изначально). Все. Пароль не нужен. Вы - root. С чем Вас и поздравляю. Знаменитый эр эм эр эф уже доступен, как и все Вами вышеперечисленное, включая смену самого пароля текущего пользователя на любой произвольный. Пример, если не понятно. Только чем именно для Вас это все грозит?
Если хотите себе тотальной безопасности - пересоберите ядро так, чтобы не поддерживало single (как конкретно - не знаю, надо гуглить, но в том что это возможно - я уверен), уберите из grub2 все упоминания recovery mode, или вовсе не используйте grub2. Касательно этого:

хоть какая-то степень защита от "дурачка" должна быть

все вышеобозначенные способы получения доступа к системе, имея физический доступ к машине - это и есть защита от того самого субъекта, при таком примерно сценарии: субъект поставил себе девятнадцатизначный пароль, но при следующей же загрузке уже сам его ввести не в состоянии, и у него начинаются проблемы.

[soarin]

Насколько это будет безопасно?И какова вероятность удаленно попытаться подключиться напрямую туда(без физ доступа к устройству)

Около нуля. Естественно, что есть небольшой шанс, что через троянскую программу или уязвимость в том же браузере "подключатся", ну так хоть запоролься – особо не поможет. Тут только не стоит запускать софт с помоек и не пользоваться устаревшими браузерами без секурных апдейтов.

Какой способ тут будет самый легкий для новичков,чтобы делать не очень много действий? ведь не у всех ПК,к которым доступ можно гарантированно закрыть.Кто-то пользуется ноутбуками,и в случае потери,что?Данные доступны?

Совершенно верно, что в случае потери ноутбука все данные уйдут к вору.
Во время установки Ubuntu есть выбор установить полнодисковое шифрование https://askubuntu.com/questions/1029285/ubuntu-18-04-disk-encryption

[Onlininer]

pitch736,
1) Перелогиньтесь под логином, под которым вас все знают, а то кое-что "играет", что все увидят под старым логином, и "засмеют?"
2) Эппл и его супер-пупер "защищённые" МакБуки с чипами шифрования, после глюка на которых у людей случается истерика от невозможности никаким образом слить данные со своего личного компа никак.

[soarin]

Эппл и его супер-пупер "защищённые" МакБуки с чипами шифрования, после глюка на которых у людей случается истерика от невозможности никаким образом слить данные со своего личного компа никак.

Непонятно причём тут Apple. T2 багованный по началу был, но так ему всё год – а так более-менее откатали его.

А так естественно, что шифрование при сбоях уменьшает шансы на доступ к своим данным (это как замок на двери – может заклинить).
Тоже самое касается и Ubuntu, в которой раньше при установке была опция "шифровать домашнюю папку". Использовался глючный  eCryptfs.
Теперь его убрали, используется полнодисковое шифрование luks.

PS: а так в той же macOS хорошо шифрование сделано и удобно – лет шесть пользуюсь без проблем.

[Raf73]

Если есть физический доступ к машине, то полностью теряется смысл невозможности простой смены пароля. Ведь достаточно подключить диск, например к другой машине (например, к ноуту), через USB контроллер и не нужны никакие пароли для входа в систему. Диск будет примонтирован к другой машине и делай с ним что угодно через, ту самую, другую систему.
А вот полное шифрование диска - это достаточно хорошая защита, но это уже из другой оперы.

[andytux]

"Создайте защиту от дурака, и только дурак сможет ей пользоваться."

без особых проблем можете загрузиться в recovery mode.Примонтировать корень.И поменять пароль

Например, вот. Лишь сотня постов панадобилась, чтобы "легко, без особых проблем" поменять пароль.
И такие темы появляются с завидной регулярностью.

в данном случае вся ответственность ложится на BIOS

БИОС-ов уже давно нет. А в УЕФИ, зачастую, не помогают вынимание батарейки и замыкание контактов.

я попробовал это сделать,но не вышло...

Исключение только подтверждает правило.

[Morisson]

А еще есть chroot. Пришел чувак с флешкой загрузочной и аллес капут.
Есть вариант запаролить grub, чтобы никто не имел доступа к опциям загрузчика. grub умеет пароли.

[peregrine]

А ещё можно взять флешку и загрузиться с неё на компе с виндой, примонтировать виндовые разделы и делать что угодно с ними.

[pitch736]

Ну что же,думаю достаточно информации по этой теме.Надеюсь,кому-нибудь пригодится.Всем спасибо за ответы.
ТЕМА ЗАКРЫТА.