I file passwd / shadow in un sistema operativo unix contengono informazioni sensibili come la password di un utente. Inoltre, questi file non sono necessariamente protetti: con un live CD possiamo accedere a quei file sul disco rigido e potenzialmente ottenere l'accesso alle informazioni sensibili.
La mia domanda è: c'è comunque un modo per rendere più sicuri questi due file - forse "bloccarli" o addirittura cambiare la loro posizione sul filesystem?
Se qualcuno ha accesso fisico alla macchina, può modificare questi file per creare un nuovo account di root o rompere gli hash delle password esistenti, utile a causa della prevalenza del riutilizzo della password. Rinominare o cambiare la posizione sarebbe "(in) sicurezza attraverso l'oscurità" e non fornirà alcuna protezione apprezzabile contro questo modello di attacco.
Passi per proteggersi:
1) Imposta una password per il bios e imponi al tuo disco rigido di essere l'unità di avvio. Ciò tuttavia non impedisce a qualcuno di rimuovere l'unità dalla macchina.
2) Considera la crittografia completa del disco. Anche se si cripta semplicemente / etc / qualcuno potrebbe sostituire / usr / bin o / bin con i binari dannosi che potrebbero essere eseguiti come root. Anche il tuo file /home/user/.bashrc può essere usato per dirottare il tuo PATH e ottenere root se sei un suoder.
Ma questa non è una soluzione perfetta. Si dovrebbe pensare alla sicurezza nei livelli e cercare di impedire l'accesso fisico alla macchina. (@dr jimbob ha un buon punto.)
Sicurezza per oscurità - in questo caso, chiedere di modificare la posizione dei file di password sul sistema non migliora effettivamente la sicurezza. I progettisti Unix originali lo sapevano e facevano sì che tutte le password fossero sottoposte a hashing nel file passwd anche se il file / etc / passwd era completamente leggibile da tutti. Il file shadow - spostando i token delle password hash al di fuori del file / etc / passwd - è diventato di moda solo quando un altro livello di sicurezza è stato ritenuto utile.
La risposta di Rook è anche azzeccata. Se non è possibile proteggere la macchina fisica, non verranno rispettati i "blocchi" presenti nei file sensibili. Anche se è stata creata una sorta di "blocco" su quei file che sono stati reciprocamente riconosciuti da tutti i sistemi operativi POSIX, ho potuto sicuramente estrarre i dati utilizzando alcuni strumenti che ignoravano il "blocco". La crittografia fisica del disco è l'unico modo per "bloccare" il file per impedire l'accesso al file da un ambiente di Live-CD.
Le password sono ovviamente cancellate in modo sicuro. Se le password sono abbastanza complesse, questo dovrebbe essere sufficiente per mantenere sconosciute le tue password.
Presumo che tu voglia impedire a qualcuno di cancellare la password e poi di eseguire l'avvio. Questo non è semplice, ma potresti avere uno script di avvio di root, quindi all'avvio del computer controlla se il file shadow non è corretto e, in caso affermativo, cancella, blocca o disabilita altrimenti la macchina o rende le informazioni private all'interno illeggibile. Questo non impedisce la cancellazione della password, ma ti dà l'opportunità di agire al prossimo avvio.
Ma ricorda che se la macchina non si avvia, l'hacker può comunque leggere tutti i file, indipendentemente dal file shadow.
È ovvio che è necessario scrivere un programma per rilevare modifiche dannose al file delle password, senza rovinarti quando apporti modifiche autentiche. Probabilmente vuoi solo rilevare se ci sono state modifiche dall'ultima copia conosciuta , ma solo se si è verificato mentre la macchina era offline .