Ubuntu.pl 🇺🇦️ - Forum Ubuntu

Drodzy użytkownicy Ubuntu,

Jak to jest z (nie)bezpieczeństwem uruchamiania komputera z włożonym pendrive lub zewnętrznym dyskiem twardym usb nieznanego pochodzenia?

Z tego co widzę, grub i fstab używa UUID do znajdowania rootfs. A gdyby tak podpiąć nośnik z partycją ext4 i złośliwymi binarkami na nim i identycznym UUID?

Czy grub jakoś jest zabezpieczony przed takimi zabawami? Czy daje priorytet dyskom SATA/IDE przed dyskami USB?

W tym momencie nie chodzi mi o to że można przy starcie biosu wybrać USB, ani o tryb ratunkowy w Ubuntu.

Chodzi o to żeby nic złego się nie stało przy następnym uruchomieniu jak się przez przypadek zostawi nośnik włożony.

będę wdzięczny jak mi ktoś podrzuci jakieś info,
szukałem w manualu od gruba, grub.cfg, w google pod haslem "security usb uuid detect order" oraz "grub uuid threats", i choć dowiedziałem się nowych rzeczy to na pierwotne pytanie odpowiedzi mi brak.

Grub ma zapisane w konfigu uuid partycji, z ktorej ma wystartować.
Poza tym jak nie masz włączonej w biosie opcji, żeby najpierw startowal z pendraka, a dopiero potem próbowal z dysku, to raczej nie masz się czego obawiać.
Jeśli komp próbuje wstawać z usb, to wystarczy wrejść do biosu, i w ustawieniach startowych przestawić, zeby wstawał z dysku twarddego.

Także nie ma się czego obawiać, to nie jest Windows XP, tylko Linux.

jacekalex pisze:Grub ma zapisane w konfigu uuid partycji, z ktorej ma wystartować.

No właśnie, a co jak podłączy się dysk USB z partycją z takim samym UUID jak systemowa partycja z "/" ?
Wczoraj analizowałem /initrd.img, i moduł usb-storage tam jest. Która partycja zostanie wtedy wybrana do zamontowania?

jacekalex pisze:Także nie ma się czego obawiać, to nie jest Windows XP,tylko Linux.

Tak, ale przy okazji migrowania na następne LTS korzystam z okazji aby trochę dokładniej przyjrzeć się zabezpieczeniom. Ubuntu i tak ma tych zabezpieczeń bardzo dużo, więc pewnie i to ktoś przewidział, ale chcę po prostu mieć pewność i nie martwić się jak użytkownicy pchają swoje łapki, pendrajwy i zapominają ich potem wyjąć

O tryb ratunkowy się nie martwię, bo użytkownicy nie znają konsoli

( swoją drogą mogła by istnieć jakaś meta paczka albo coś typu sudo enable_grub_security żeby po wykonaniu tego dalo się odpalić tylko najnowszy kernel z domyślnymi parametrami i inne OS-y jak są. Wszystko inne wymagało by zalogowania sie jako użytkownik należący do grupy admin/sudo )

Jeśli start jest ustawiony z HDD to nie ma znaczenia, jaki uuid ma partycja na pendrivie, bo pierwszeństwo ma zawsze dysk startowy. Natomiast jesli start jest ustawiony na USB jako pierwsze to pytanie jest moim zdaniem bezprzedmiotowe, ponieważ jesli na pendrivie będzie własny grub (a skoro boisz się niespodzianek typu złosliwe binarki, musisz zawsze założyć najgorszy scenariusz) to on może oddać sterowanie do dowolnej partycji jaką mu ustawi właściciel pendrive'a.

Bezpieczeństwo komputera w przypadku gdy ktoś ma do niego fizyczny dostęp jest tylko tak mocne/słabe jak szyfrowanie, jakie stosujesz w systemie. Wszystkie inne zabezpieczenia są nic nie warte.

Bardziej bym się obawiał sytuacji gdy uruchomi się system z pozostawionego pendrive w komputerze i zacznie się instalacja nowego systemu. Odpowiednio ustawiony system np. Linux na pendrive sam zaczyna instalację na dysku twardym komputera. Wtedy można stracić zawartość całego dysku.
Wielu ludzi ( szczególnie w biurach, firmach ) włącza komputer i idzie np. zrobić sobie kawę i wraca po kilku minutach. Czas wystarczający na to żeby system z pendrive się uruchomił i zaczął instalację łącznie z formatowanie dysku twardego.
Proste ale bardzo skuteczne aby narobić problemów z dyskiem i jego zawartością tym bardziej jak informatyk to taki z przypadku "Jasiu Kowalski"

Która dystrybucja automatycznie formatuje dysk nie pytając usera o zgodę?

Rob006 czytaj między wierszami to co piszę.
Można tak zrobić swoją dystrybucję Linux'a że automatycznie będzie się instalować i tworzyć jedną partycję. Praktycznie bezobsługowa instalacja.
Bardzo to pomocne przy instalacji na wiele komputerach - w serwisach czy punktach sprzedaży.
Lecz dla kogoś kto chce narobić komuś problemów to narzędzie dość niebezpieczne.
Dlatego zawsze ustawiam w biosie komputera brak możliwości uruchamiana z dysku usb, cd lub pendrive i oczywiście hasło na bios.
Oczywiście można taką blokadę ominąć w niektórych komputerach - wyciągając baterię od biosu - wracają wtedy ustawienia fabryczne.
Najgorsze co może być to fizyczny dostęp do komputera i jego biosu.