Wenn du dich kostenlosregistrierst kannst du neue Themen verfassen, an Umfragen teilnehmen und vieles mehr. Falls Du bei der Registrierung oder Anmeldung Probleme hast, dann kontaktiere uns.
Ka, bin selbst noch nicht darüber gestolpert.
Hab das nur irgendwan im I-Net gelesen. Deshalb dachte ich mir, dass es nicht schadet das mit reinzupacken.
Ich schätze eher, dass das im Grub weggepatched wird. Das dürfte weniger Aufwand bedeuten.
02.03.2009, 08:21
root-Passwort vergessen: Was Tun? Beitrag #10 (permalink)
Hauptanforderung eines Programmierers oder Administators ist kreatives denken, auch bevor man handelt oder Meinuingen kritisiert. GRUB stellt ungehärtet eine Sicherheitslücke da ( IMENSE ) und man kann diese nicht mit einer Bootdisc vergleichen, da diese nicht immer zur verfügung steht, GRUB aber schon. Damit sind alle Passwörter null und nichtig. Also entweder GRUB-Bootdisc erstellen oder härten ( md5 nicht vergessen ) und die Zugriffsrechte
der menu.lst reduzieren ( Beispiel:0600 ).
Fazit: Ich schließe mich dem Gedanken an, das GRUB als default eine Sicherheitsbedrohung darstellt.
15.01.2010, 15:14
root-Passwort vergessen: Was Tun? Beitrag #12 (permalink)
Fazit: Ich schließe mich dem Gedanken an, das GRUB als default eine Sicherheitsbedrohung darstellt.
Daher "wer das nicht will soll es verhindern".
Klar ist es eine Bedrohung, aber hier ging es um "Sicherheitslücke", was einen Fehler impliziert. Die Möglichkeit Bootparameter im Bootloader zu geben ist kein Softwarefehler, genauso wie ein Computer mit einem Diskettenlaufwerk keinen Hardwarefehler darstellt (naja, im Jahre 2010 vielleicht doch ).
Eine Sicherheitslücke wäre zum Beispiel die Möglichkeit, aufgrund eines Programmierfehlers den eingestellten Passwortschutz im GRUB mit irgendeinem speziellen Passwort ausser Kraft zu setzen. Das wäre vom Programmierer nicht gewünscht. Die Weitergabe von Parametern an das zu startende System ist aber definitiv gewünscht.
23.01.2010, 17:17
root-Passwort vergessen: Was Tun? Beitrag #13 (permalink)
Hauptanforderung eines Programmierers oder Administators ist kreatives denken, auch bevor man handelt oder Meinuingen kritisiert. GRUB stellt ungehärtet eine Sicherheitslücke da ( IMENSE ) und man kann diese nicht mit einer Bootdisc vergleichen, da diese nicht immer zur verfügung steht, GRUB aber schon. Damit sind alle Passwörter null und nichtig. Also entweder GRUB-Bootdisc erstellen oder härten ( md5 nicht vergessen ) und die Zugriffsrechte
der menu.lst reduzieren ( Beispiel:0600 ).
Fazit: Ich schließe mich dem Gedanken an, das GRUB als default eine Sicherheitsbedrohung darstellt.
Das gilt dann für so ziemlich jeden mir bekannten Bootloader. z.B. auch lilo. Ich find den Vergleich mit der Bootdisk daher schon recht gut.
25.01.2010, 11:17
root-Passwort vergessen: Was Tun? Beitrag #14 (permalink)
[QUOTE=TheBonsai;121859]Daher "wer das nicht will soll es verhindern".
Klar ist es eine Bedrohung, aber hier ging es um "Sicherheitslücke", was einen Fehler impliziert. Die Möglichkeit Bootparameter im Bootloader zu geben ist kein Softwarefehler, genauso wie ein Computer mit einem Diskettenlaufwerk keinen Hardwarefehler darstellt (naja, im Jahre 2010 vielleicht doch ).
Wenn das Thema - Exploits & Bugs div. Bootloader - währe, würde ich dir vollkommen recht geben. Abeer....die Frage war ja, ob der Bootloader an sich im Default-State eine Securitylücke darstellt. Und nocheinmal - ja. Der Apacheserver im defaultstate ist beispielweise auch ein Securityleck, die Bugs der eigentlichen Software sind hier nicht gemeint, sondern die Einstellungen.
Grüße, Tomato
25.01.2010, 11:34
root-Passwort vergessen: Was Tun? Beitrag #15 (permalink)
Eine Sicherheitslücke wäre zum Beispiel die Möglichkeit, aufgrund eines Programmierfehlers den eingestellten Passwortschutz im GRUB mit irgendeinem speziellen Passwort ausser Kraft zu setzen. Das wäre vom Programmierer nicht gewünscht. Die Weitergabe von Parametern an das zu startende System ist aber definitiv gewünscht.
Bonsai, du meintest hier eher ein Bug, als eine Sicherheitslücke, welche ungewollt sind, aber nicht zwingend ein Secureleck darstellen muss. Securitylecks betrachtet man aus einer allgemeineren Ebene, wobei das was du erwähnt hast, auch kein Bug währe, sondern tatsächlich ein Leck, der aber indirekt schon vorhanden ist
( Möglichkeit selbst neue Passwörter zu setzten, geht über der Anforderung die alten ausser kraft zu setzen )
P.S: Betrachtest du ein PC ohne Antivirenso.., Firewall, etc. nicht als Sicherheitslücke, die Defaulteinstellungen für das Administrator- PW, ist das keine Sicherheitslücke.
25.01.2010, 11:44
root-Passwort vergessen: Was Tun? Beitrag #16 (permalink)
Nur: Wozu? Wenn der Benutzer nicht in der Lage ist sich darüber zu informieren wie er seinen Bootloader abdichtet, dann ist es auch nicht wichtig.
J.
Also, diese Antwort hat es in sich. Supermoderator, du solltest den Einsteigern/Umsteigern par nützliche Ratschläge geben, eventuell Links, aber das war nur verschwendete Zeit und Energie. Genau in diesem Forum, währe doch der richige Platz, jemanden der sich zusätzlich eine Lin...distr.. von der CD installiert hat, zu warnen das er GRUB ( und vielleicht auch " Wie " ) härten sollte.
).
Linear-Darstellung
Ubuntu Linux
Suse Linux
