LINUX.ORG.RU

Пароль локальной сессии

 , ,


2

2

Добрый день. Хотелось бы прояснить простой вроде бы, но в то же время важный момент.

Пароль от сессии. Пароль который мы присваиваем пользователю через passwd, который вводим при логине в dm и пр.

С одной стороны это ключевой важности пароль т.к. он открывает доступ к локальным директориям, сессии, шеллу, иногда даже(убунту) к корневому доступу.

С другой стороны этот пароль приходится регулярно вводить, опять же в убунту все делается через sudo.

С третьей же стороны, везде пишут, что если компьютер случайно потеряется, взломать перебором пароль очень просто, никаких задержек на итерации, никаких PBKDF и пр.

Где правда и какая существует good practice на этот счёт?

И ещё, если у нас будет заранее неизвестное имя пользователя, это усиливает защиту т.к. подбирать надо пару логин/пароль, или нет?

везде пишут, что если компьютер случайно потеряется, взломать перебором пароль очень просто

Если данные не зашифрованы - подбирать не надо.

Где правда и какая существует good practice на этот счёт?

Не терять компьютер.

anonymous
()

в убунту все делается через sudo

Открой для себя su! И да, только психически больной оставит дефолтные настройки бубунты! При sudo ты должен вводить пароль рута, а не пользователя! Иначе какой вообще толк от этого sudo?

взломать перебором пароль очень просто

Ты хоть раз пробовал? Через три попытки тебе дадут подумать минуту. Через еще три попытки - пару минут. И все дольше и дольше…

anonymous
()
Ответ на: комментарий от anonymous

Ты хоть раз пробовал? Через три попытки тебе дадут подумать минуту. Через еще три попытки - пару минут. И все дольше и дольше…

Вытащить хеш слабо?

anonymous
()
Ответ на: комментарий от anonymous

И сколько ты будешь SHA512 подбирать?

Ну и да, если ты в состоянии вытащить хэш, то у тебя есть права рута. Нафиг в этом случае знать пароль пользователя???

anonymous
()
Ответ на: комментарий от anonymous

ДА! Как ты иначе хэш вытащишь?

anonymous
()
Ответ на: комментарий от anonymous

Ну и да: если у тебя есть физический доступ к компьютеру, то это значит, что у тебя уже есть рутовский доступ (пусть даже загрузившись из live flash и сделав chroot), т.е. можно в ~/.bashrc жертвы подменить login на обертку, которая, скажем, отошлет пароль на мыло, а потом вернет все, как было…

anonymous
()

приходится регулярно вводить, опять же в убунту все делается через sudo.

При администрировании. При обычной работе нет.

взломать перебором пароль очень просто

Задавай длинный пароль с использованием букв в разных регистрах, цифр и знаков препинания. Пароли вида qwer1234 в подборе идут в первую очередь.

И ещё, если у нас будет заранее неизвестное имя пользователя

При условии, что логин-менеджер сам не предлагает список имён, и ты точно не включал заведомо известного root. Ну и что ФС без пароля не доступна.

apt_install_lrzsz ★★★
()
Ответ на: комментарий от apt_install_lrzsz

ты точно не включал заведомо известного root

Это ж каким надо быть ослом, чтобы без рута в системе работать?

anonymous
()
Ответ на: комментарий от anonymous

Если ставлю кому-то бубунту, то первым делом задаю пароль рута: sudo passwd. Вторым — лезу в sudoers и настраиваю ввод пароля target, а не юзера! Потому что иначе — маразм!!!

И да, нужно убедиться, что по умолчанию новые пользователи не будут находиться в группах wheel и sudo.

Бубунта — та еще мастдайка. Я б ее создателя на ядрену бомбу привязал, да в пиндостан отправил!

anonymous
()

если компьютер случайно потеряется, взломать перебором пароль очень просто

При наличии физ. доступа зайти под рутом можно просто передав ядру некие параметры, так что тред особо не имеет смысла. Как уже сказали, если хочешь защититься, шифруй диск.

goingUp ★★★★★
()
Последнее исправление: goingUp (всего исправлений: 1)
Ответ на: комментарий от anonymous

Вот это понимаю уровень, можно не логиниться и не подписываться, все равно узнают)

goingUp ★★★★★
()
Ответ на: комментарий от goingUp

В группе wheel должны быть исключительно те, кому доверяешь. А sudo лучше вообще даже не ставить.

Вот, скажем, в генте из коробки sudo нет — потому что дыра в безопасности!

А бубунта - мастдайка. Поэтому там по дефолту пользователь == рут.

anonymous
()

И ещё, если у нас будет заранее неизвестное имя пользователя, это усиливает защиту т.к. подбирать надо пару логин/пароль, или нет?

Ничего не надо подбирать. Данные и так доступны. В общем случае.

good practice

Не допустить физического доступа к компьютеру.

И, пользователь:пароль - это про авторизацию, а не про защиту данных. Данные защищают на другом уровне.

vvn_black ★★★★★
()
Последнее исправление: vvn_black (всего исправлений: 1)

Важные данные:

  1. Шифровать.
  2. Хранить только на внешних носителях.
  3. Не таскать с собой без надобности.

Остальное - в хомяк с хорошим паролем.

заранее неизвестное имя пользователя усиливает защиту т.к. подбирать надо пару логин/пароль?

Не более, чем хороший пароль

mrn
()
Ответ на: комментарий от goingUp

зайти под рутом можно просто передав ядру некие параметры

rw init=/bin/bash

mrn
()
Ответ на: комментарий от mrn

Учитывая то, что важных данных обычно от силы пару сот мегабайт (всякие пароли к веб-сервисам, да сканы документов), то достаточно будет использовать encfs. И данные спокойно можно таскать на флешке, просто запомнив пароль: на любом компе, где установлена encfs, можно будет подмонтировать.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.