Protection du mot de passe de root [Résolu]

[touff5]

A l'adresse http://www.bashprofile.net/article.php3?id_article=318, j'ai trouvé un moyen pour changer un mot de passe root perdu :

Citation:

Si vous utilisez LILO, appuyez sur la touche [Ctrl]-[x] pour quitter l’écran LILO graphique et accéder à l’invite boot : de LILO.

Tapez ensuite linux single à l’invite boot : de LILO.

Une fois que vous aurez démarré en mode utilisateur unique, à l’aide de GRUB ou de LILO, et aurez accès à l’invite #, entrez passwd root afin de pouvoir entrer un nouveau mot de passe. À ce stade, vous pouvez taper shutdown -r now pour redémarrer le système avec votre nouveau mot de passe.

Le problème c'est que j'ai dû le faire pour redéfinir le mot de passe root perdu sur un réseau, c'est un problème car ça veut dire que si ça a marché avec moi ça marchera avec n'importe qui utilisant la même manip.
Comment un utilisateur lambda d'utiliser cette méthode pour changer le mot de passe root ?

[2Eurocents]

Citation:

Envoyé par touff5

Le problème c'est que j'ai dû le faire pour redéfinir le mot de passe root perdu sur un réseau, c'est un problème car ça veut dire que si ça a marché avec moi ça marchera avec n'importe qui utilisant la même manip.
Comment un utilisateur lambda d'utiliser cette méthode pour changer le mot de passe root ?

Alors, il faut protéger la configuration de LILO par un mot de passe.

Pour grub, il doit y avoir moyen de faire la même chose.

Ensuite, pour être VRAIMENT tranquille, il faut protéger le bios par un mot de passe, pour éviter les changements d'ordre de boot et interdire le boot sur disquette, CD-ROM, réseau et disque USB.

Ainsi, personne ne pourra utiliser un média de boot externe pour casser ton mot de passe root.

Enfin, il faut mettre la machine sous clef, pour interdire tout accès physique et éviter qu'on ne prenne le disque dur pour en casser le mot de passe sur une machine tierce.

Nous sommes alors arrivés au degré ultime de la paranoïa^Wsécurité d'accès.

[touff5]

Le BIOS est déjà protégé par un mot de passe et les tours sont déjà cadenassées. Les utilisateurs sont du genre à voler les boules de souris, à péter les connecteurs de clavier/souris, alors oui un peu de parano ne fait pas de mal.

Par contre, je vois mal quoi faire même avec la page expliquant le lilo pour empêcher un utilisateur d'arriver en mode single ou de changer le mot de passe une fois en mode single.

[MarcG]

man lilo.conf :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
 password=<password>

que l'on peut ajouter soit en section "globale" ou par image de boot .

[touff5]

J'ai rajouté à la fin de chaque bloc image (ce qui correspond à chaque bloc intronisé par une phrase du style : image=/boot/quelquechose) ceci :
password=monPassword
restricted

mais rien n'y fait. Le linux single marche toujours. Je l'ai donc rajouté ensuite en global, au début de tous les blocs. Mais rien...

[touff5]

Non c'est bon, il fallait redémarrer le lilo par un /sbin/lilo après les modifs. Tout marche.

[zooro]

/mode HS on
Pour la sécurité physique du serveur, rien de tel qu'un pitbull couché sous le bureau... Ca décourage tout de suite un éventuel plaisantin
/mode HS off