前几天,我在DVD上刻录了Chakra Linux iso。当我启动一个实时会话时,我能够访问我的所有常规数据。在海豚中,单击属于我的/home/user分区的图标时,弹出窗口会要求我输入sudo密码。我输入的密码不是我的常规sudo密码,而是属于实时DVD的密码。默认情况下,此密码始终为root。使用默认密码,我被授予对存储数据,安装Linux Mint和Windows 7的所有分区的访问权限。
我认为这是严重的安全漏洞。使用实时dvd无需密码即可访问所有数据时,拥有受密码保护的帐户有什么意义?这是正常现象吗,还是系统混乱了,或者Chakra发行版有问题吗?
如果攻击者可以在您的环境中引导实时CD,则您的环境不安全。这是物理安全如此重要的原因之一。
通常,对计算机进行物理访问是危害计算机所需的全部。Unix权限由内核强制执行。如果您运行的是实时CD并且是root用户,则与在您自己的计算机上root用户没有什么真正的区别。您的环境没有什么特别的。
这是预料之中的,并且是正常的。这就是为什么要对可以物理访问计算机的人隐藏数据时必须进行数据加密的原因-Unix权限仅可保护您免受攻击者攻击具有已知权限模型和已知约束(密码,密钥,等)阻止攻击者获得这些权限。如果攻击者可以操纵计算机,引导到单用户模式,引导实时环境等,那么除了加密数据之外,您无能为力。
加密是一个很好的第一步,但是在每一步(当您输入身份验证以解密该卷等时),您都在相信计算机不会骗您。如果您至少没有良好的物理安全性,则您将无法信任计算机。
Unix权限需要强制执行,并且如果您的环境发生变化,该强制执行可能会变得出乎意料的弱。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句