Во-первых - пароли на BIOS и загрузчики, во-вторых - шифрованные файловые системы.. Но, боюсь, что в твоём случае это не поможет.. Кто может гарантировать, что, в следующий раз, твой сосед вместе с начальником, от злости, что не смогли получить боступ к информации на HDD просто не выкинут твою секьюрную машину из окна.. ;-)

Решать проблему с начальником, в случае недостижения компромисса - увольняться.

Локальная безопасность, параметры загрузки.

Ничего такого на машине, чтобы я хотел защитить нет, поэтому случай с окном меня не огорчит :) Но вот уроки из таких случаев брать можно. Пароль на биос стоит (при физическом доступе - не дело), пароль на загрузчик стоит, но я хочу его снять, т.к. хотелось бы машину удалённо включать (через net wakeup),а так он включится, но дальше загрузчика дело не пойдёт. Меня интересуют именно параметры к загрузке и способы их отключения. При мне на какой-то машине в загрузчике написали что-то типа boot=/bin/bash и загрузились под root. Можно ли такую фичу отключить? Касаемо шифрования: так вроде бы не всё шифровать можно? корневой каталог нельзя кажется. Соответсвенно раз корень не заишфрован, то с загрузочного диска можно залезть в систему.

С начальником я уже разрулил ситуацию, физически мой комп трогать нельзя. А вот программно - мне уже самому интересно защититься. Пытаюсь понять как защититься ещё и от физического взлома.

Мда, почему тебя шеф сразу не уволил, не понятно?!
Ведь у него должны быть реквизиты доступа к компам, к которым он
захочет?!
В общем, сам виноват!
Не нужно ставить пароли где не нужно.

может стоит убрать таймаут у загрузчика?

> Можно ли такую фичу отключить?

1. Нельзя.

2. Потому что всё равно не поможет.

Раз винт незашифрован, то его можно выдернуть, вставить в другой комп, подмонтировать и делать с ним что хочешь. Если же физический доступ исключён, то как раз для этого и придуман пароль на загрузчик.

Кстати загрузить твой комп с CD, флэшки или дискеты можно? Если да, то опять же не надо заниматься такой "защитой". А то вспоминается вот эта картинка: http://obligement.free.fr/images/windows_firewall.jpg

Хакал начальник с соседом. "Начальник" - это я его так назвал, он всего лишь руководитель Отдела развития локально-вычислительных сетей. Видишь ли, машину отдают в личное пользование и отвественность за машину полностью несёт тот кому выдали. Доступ к моей машине никому не нужен, тем боле тем, кто хакал, у каждого есть своя. А увольнение, хм ... Зачем и за что? :) До тех пор, как машину стали хакать, она была в свободном доступе. Т.е. у каждого был логин и пароль. А шеф у нас такой, что если ему что-то надо, он вначале попросит.

Кажись придётся сверлить корпус, ставить серьёзный замок и приворачивать к стенке. :) А если рассматривать такую ситацию, что у тебя под руками только атакуемый компьютер? т.е. нельзя тебе хард в другую вставить. Так фичу нельзя отключить потому что не поможет или потому, что нельзя отключить?

Загрузиться с носителя нельзя, т.к. пароль на изменение настроек биоса стоит. Но при физическом доступе его легко обнулить (Дорожки от платы отпаять что-ли?).

Таймаут - а пароль на загрузчик стоит, всё равно загрузчик не уберётся без введения. Не поможет.

> А если рассматривать такую ситацию, что у тебя под руками только атакуемый компьютер?

Вот это и называется: сферическая атака в вакууме. Защитимся только от того, от чего сами хотим, - но уж со всей серьёзностью. :)

Не ну понятно, можно зашифровать систему, поставить пароль на загрузчик, на изменение настроек биоса, на загрузки системы в биосе, забетонировать корпус и поставить капсулу с кислотой, выплескивающую к-ту в лицо при открытии корпуса :) Это не "в вакууме". Но у меня тут вполне себе ограниченный список возможностей атакающих. А именно доступ ко внутренностям. Отсутствие других машин. Т.е. тупо посадили атакера в комнату, из инструментов только отвёртка, машина в комнате только та, которую надо хакать.

Как бы ты попытался защитить эту машину? Или не стал бы и пытаться - гиблое дело?

я не понял все-таки постановку задачи? тебе надо защитится от физических атак, или защитить какие-то свои данные ? если ты не можешь физически защищать машину, то шифруй свои данные - вот и все.

Я простите не верю в такое ограничение, как отсутствие второго компа. Если только это не олимпиада по взлому в противоестественных условиях.

Задача следующая: можно ли запретить вход в систему человеку, у которого нету пароля от root, но есть физический доступ к машине (но все внутренности никуда не выносятся, остаются на своих местах). Пароль на загрузчик желательно не ставить :( Потеря данных меня сейчас не интересует, про шифрование я понял. Возможно ли отключить параметр функцию "восстановление системы" на своей системе (на установочном диске можно нажать восстановить систему и загрузиться рутом) и параметр к загрузке, позволяющий грузить под root.

Ну, вообщем, сейчас моя ситуация на работе и есть нечто похожее на олимпиаду :)

Если можно грузиться с CD (а я так понял что можно, раз ты говоришь про установочный диск), то даже не трепыхайся. От этого спасёт только шифрованный раздел.

Я ответил на твой вопрос?

Да, спасибо :) Жаль :)

Я же сразу намекал.. Или серьёзный подход с самого начала или всё напрасно.. Как и в любом случае, полумеры ни к чему хорошему обычно не приводят..

> отвественность за машину полностью несёт тот кому выдали

Вот ответ на твой вопрос. С ним можно спокойно пойти и набить морду "хакерам". А можно например пожаловаться начальнику что "эти г.ндоны привели мою систему в нерабочее состояние" - и пусть они доказывают что это не так.

init=/bin/bash

Пароль на загрузчик не обязывает тебя вводить его каждый раз при загрузке машины - он всего лишь не позволяет изменить параметры загрузки. Т.е. вариант с init=/bin/bash не пройдёт. При этом ничто не мешает тебе загружаться по сигналу с сети. А для предотваращения доступа к данным можно сделать отдельный раздел, скажем hda2, и зашифровать его, монтировать руками каждый нужный раз. Результат - доступ к машине получить можно только загрузкой с LiveCD, но доступа к данным не будет. Правда в таком варианте в конфиге GRUB можно дропнуть пароль =) А можно купить внешний винт и таскать его с собой =)