Переход в режим рековери под root

Вообще-то не хотелось бы, чтобы под root'ом кто-то оказался после такого косяка.

Тот кто находится физически возле перезагружаемой машины? Так он может просто с livecd загрузиться и вертеть твою систему как хочет.

После того как опечатался в символе в /etc/fstab

используй ZFS, например в FreeBSD и такая ситуация не повторится

passwd root

На root и так стоит пароль. В том-то и дело, что после перезагрузки из-за не возможности примонтировать диск из-за опечатке в файле fstab система дарит безвозмедно рутовый доступ, даже не спрашивая пароля.

Ну и что? Я и без этого получу доступ к твоей системе с правами рута при физическом доступе. Хочешь защитить при физическом доступе шифруй hdd и/или ssd.

Ну и что? Я и без этого получу доступ к твоей системе с правами рута при физическом доступе.

Это не совсем правильное рассуждение. Вам надо одновременно получить физический доступ в момент перезагрузки. Итого, если система перегрузилась с ни с того ни с сего, значить - косяк, если система отправлена админом на перезагрузку и грузится долго - косяк.

А вот Слакварь не даёт без ввода пароля получить достут к консоли при проблемах. И это правильно. Чините ваш дистрибутив.

Хрень это все. Если я получу физический доступ к компу, пароли - чисто формальность. Мне пофиг время перезагрузки или надо самому лайв юсб воткнуть.

Хрень это все.

Ну конечно... Вот в <sensored> серверные уборщица должна работать под присмотром. В остальные — мне делать больше нечего, как за ней следить? И мальчика воткнуть патчкорд одного отправить нельзя?

А вот Слакварь не даёт без ввода пароля получить достут к консоли при проблемах. И это правильно. Чините ваш дистрибутив.

Что, init=/bin/sh тоже пароль требует? :)

Уборщица хакер ага. И что ей мешает лайв юсб тогда воткнуть?

prompt в lilo - отключаемый.

То что остановка сервиса,а не только перезагрузка — это большой кипиш. А перезагрузки делаются через iLO/IPMI и прочих IP KVM.

Какие же вы админы локалхоста ограниченные в кругозоре и логике.

А т.е. если сервак ребутнулся и выкинул рутовой приглашение это не кипиш? Какие же вы школьнички наивные...

УМВР. Вам и чинить свой школьный дистр, чтобы не перебутался и не выкидывал рутовый вход.

Не поверишь, у меня тоже все работает. Я даже хз как там рекавери выглядит, очевидно работает оно из initrd. А еще есть замок, который в отличии от твоих влажных фантазий про возможности ip kvm хоть как-то оганичивает доступ к оборудованию мифическим уборщицам-хакершам. ЗЫ не помню про какой там дистр говорил ТС, но твоя классификация на школьные и не школьные говорит достаточно много о тебе.

Ваша уборщица и мальчик с патчкордом тоже через замок работы производит? Не волнуйтесь, всё у нас нормально и с контролем доступа и глушилками телефонов и прочих хреней, о чём писать тут в открытом доступе не положено. А про школу упоминули именно вы.

А у вас в телекоммуникационных шкафах уборщицы работают? И вы мне так и не объяснили как ip kvm в ваших фантазиях защищает от физического доступа. Ну и про локалхосты любят школьнички втирать, вывод напрашивается.

А у вас в телекоммуникационных шкафах уборщицы работают?

Достал этот детский сад, право слово... Уборщицы работают около. Другие методы защиты будут без коментариев.

И вы мне так и не объяснили как ip kvm в ваших фантазиях защищает от физического доступа.

А вы пробовали читать что вам пишут? Физический доступ не означает, что получивший его отделается ничем при попытке поизвести неположенную операцию. Если у вас серверы выполняют единственную работу по обогреву серверной, то бог вам судья.

Достал этот детский сад, право слово... Уборщицы работают около. Другие методы защиты будут без коментариев.

Детский сад это у тебя. Если физический доступ ограничен какая там разница дает рута рекавери или нет?

А вы пробовали читать что вам пишут? Физический доступ не означает, что получивший его отделается ничем при попытке поизвести неположенную операцию.

И опять же какая тогда разница как там работает рекавери?! Что и что за бред про «Чините ваш дистрибутив.» ты нес выше?

ИМХО ты профан полнейший (а может и просто школьник), спорить с тобой не имею никакого интереса, удачи и добра тебе!

Вот вот, натуральный детский сад. Счастливо оставаться в ваших заблуждениях.

Достал этот детский сад, право слово... Уборщицы работают около. Другие методы защиты будут без коментариев.

Точно детский сад.
У вас в серверной такое Г что туда надо пускать уборщицу? Видимо серверной вы называете кладовку в которой полтора самосборных pc.
Продолжу: у вас везде «iLO/IPMI и прочих IP KVM» и при этом почему-то требуется «мальчик с патчкордом», крысы что-ли старый погрызли?

Празднуете? А то клоунство какое-то непрофессионально унылое.

Устанавливай на зашифрованный раздел, тогда взломать можно будет только терморектально. Остальные способы защиты при физическом доступе к компьютеру — фуфломицины.

Хрень это все. Если я получу физический доступ к компу, пароли - чисто формальность

Банкомат в людном месте, приступай.

Да нет, просто слабо представляю себе серверную куда «тетя маша» со шваброй свободно ходит. Так же слабо представляю серверную в которую «мальчик с патчкордом» имеет свободный доступ.

Ничего подобного, внутренняя плата, находится вне доступа чуть ли не в сейфе, кроме того любая попытка подключится к внутренним портам приведет к плачевным последствиям. Хотя там внутри и винда стоит.

Ничего подобного

Вот именно, проблема ТСа в том что доступа к клавиатуре и экранчику достаточно.

только не стоит путать обычный сервер (где действительно, имея доступ к портам, клавиатуре и монитору - можно сделать все что угодно, если хард не зашифрован - тут можно словить, правда, свои «приятные» моменты) и спец устройство где по постоянно отслеживает всю переферию и не дай бог что то отключится или подключится - после чего точно приедет отряд бравых ребят

Ну не совсем верно, к железу у инженеров есть доступ (но не к сейфу с деньгами), ключи там стандартные.

там все равно дверца массивная, потому и написал чуть ли не в сейфе. Но толку открытие дверцы - влечет срабатывание сигналки. Естественно инженеры лезут в оборудование только по соглашению с охраной. Хотя я помню у нас стаял банкомат, я его перегружал по питанию по команде инженера тех поддержки, никто не приезжал, хотя пол логике должны бы.

Расскажу реальную историю. В то время Банк 1-й овк, банкомат на станции метро Добрынинская, пятница где-то 00 часа, толпа (ну не меньше 15-ти) ИТ народа из банка, традиция тогда была бухать со всех отделений на Пятницкой, банкомат завис, а людям бабло нужно, говно вопрос, у инженеров с собой ключи, ребутнули, и все заработало, хоть бы кто приехал или менты подошли.

ну это из серии головотяпства безопасников, Тинькова с контрактом на кридитку примерно также нагнули.

ну это из серии головотяпства безопасников

Да согласен, так и было. Более того в другой момент мы среди ночи, точнее не «мы» а конкретный человек (инженер работающий в этом отделении Якиманка) смог уговорить охрану на то что бы зайти в банк и снять денег с нескольких карт.

Тинькова с контрактом на кридитку примерно также нагнули.

Интересны подробности. Если не сложно расскажите.

Банкомат в людном месте

Это не значит, что к его потрохам есть физический доступ.

Там некий гражданин, можно искать не буду громкое дело было, обиделся на Тинькова за их кредитную политику(это он сам так говорил в интервью) и когда они ему кредитку прислали с договором - тот исправил договор в свою пользу (там что-то вроде бессрочного безпроцентного кредита, а главное если Тиньков будет разрывать в одностороннем порядке - то обязан выплатить несколько лямов этому гражданину), договор был отправлен, информация мелким шрифтом была помещена на специальном сайте, где все плюшки описывались, а в договоре естественно была ссылка на сайт. И юристы тинькова подписали, вернув ему подписанную копию. Тот начал пользоваться кредитом в свое удовольствие, а когда тиньков подал в суд тут и всплыло все и гражданин первый суд выиграл - договор был подписан честно. Второго не было они как то договорились, как не разглашается, но товарищ свалил из России, от греха подальше.

серверные уборщица должна работать под присмотром

Вообще то, да. Обычно в серверной отдельная система кондиционирования с пылеуловителями, поэтому уборка там требуется редко. Само собой уборка проходит под присмотром, т.к. уборщице в серверную самостоятельно не попасть. И я бы не доверил никакой тёте Дусе находится там без присмотра - мало ли что, а меня потом за яйца повесят.

мне делать больше нечего, как за ней следить

Конечно нечего, ты же безработный, ну или скоро им станешь с таким подходом.

Нашел с кем флейм разводить. В профиль глянь этому спв, все сразу ясно станет с паролями, уборщицами и мальчиками.

Дусе находится там без присмотра - мало ли что, а меня потом за яйца повесят.

Вас? А, вы тот самый мальчик, которому больше делать нечего, ибо больше ничего не можете, кроме как за уборщицей следить и быть стрелочником за неё? А расти по служебной деятельности не пробовали? Ну или хотя бы провода уложить, чтобы их уборщица не задевала?

Так же слабо представляю серверную в которую «мальчик с патчкордом» имеет свободный доступ.

Да с хера ли свободный? Открывает дежурный инженер, стойки закрыты, обвешаны как ёлка датчиками и камерами, в закрытом контуре мальчик не допускается, а уборщица под присмотром безопасника.

Вы все больше смешите. Т.е. «дежурный инженер» открывает дверь, и запускает туда «мальчика с патчкордом».

Не, я конечно понимаю, малый бизнеc, то сё, когда дежурный инженер он же сетевой админ, он же БД админ, он же админ ПО, безопасник и мальчик с патчкордом и вынимателем зажёванной бумаги и смотрельщик за уборщицей. Бывает, чо. Непонятно только зачем ему выделенные серверные с контролем доступа... А может вы и есть тот самый мальчик как предыдущий оратор? И делаете вселенские выводы как Шариков со вселенской глупостью (c)?

«Бобер», выдыхай уже. Нет реально. Пора бы.

Пора бы.

Вот именно. Ведь как всё культурно начиналось: с предельной вежливостью объяснил пробел в логике ответа на задачу ТСа: Переход в режим рековери под root (комментарий) . Но как жеж, кто-то посмел возразить... И понеслась. В лучших традициях ЛОРа, больше смахивающего на детский сад.

Да в первой части все норм было. Но во второй со слакой и дальше уже детсад.

Там жирнота сразу началась с чините дистриб. ТС дистра не называл. Я в своем вообще ни разу не видел рекавери, хотя в грабе строчка с чем то таким есть (и по-моему у всех дистров как-то так же генерится конфиг). Надеялся что сей господин может сообщит что-то о чем я не задумывался или не знаю, такое бывает. Но он начал что-то про уборщиц-хакерш сочинять. Уныние...

Это да, у слаки понятия «рекавери» нет, поэтому я и написал что со второй части уже «детсад».

Не, на продакшене с EL и явно оффтопиком с чпуксом я устраивать диверсии с fstab, чтобы проверить есть ли там root без пароля делать не собираюсь. Тем более, раз чпукс наследник BSD, то там тоже по идее должно быть так как описал — вход по паролю, вроде даже и наблюдал, но давно и не уверен. Одного только понять не могу, вот это вами описанное поведение системы вы считаете достоинством?

у слаки понятия «рекавери» нет

Вы читать умеете? «у слаки понятия «рекавери» нет» и точка.

Вы читать умеете?

Вы читать умеете? Продакшен не на слаке.

в linux ****** init=/bin/bash не пускает?