Эксперементировал с параметрами и вспомнил старый-пристарый баг с bash. Но тут он сработал с zsh
https://vimeo.com/319413055
Бага в Manjaro?
-
- Сообщения: 4469
- Зарегистрирован: 21 июн 2017, 18:09
- Решено: 95
- Благодарил (а): 51 раз
- Поблагодарили: 1966 раз
- Контактная информация:
Бага в Manjaro?
Нет, не бага.
Оно так и должно быть. Причем не только в manjaro - везде. И связано это не bash или zsh а с тем, что ядро получив на вход при запуске параметр init запускает указанное там как pid 1 задачу (По умолчанию в современных дистрибутивах это обычно systemd, в старых - специальный скрипт init), которая в свою очередь запускает все остальное. Разумеется эта задача стартует с максимальными правами (UID 0, т.е. root) - это, по сути, и есть старт системы. Но запустить таким образом в качестве pid 1 можно что угодно, даже исполняемый скрипт-самописку (если в ядре не отключена возможность запускать скрипты как программы).
По поводу безопасности - точно так же можно с какого-то live загрузится, сделать chroot и поменять пароль. Ведь root (процесс с UID 0) может менять пароль принудительно кому угодно, так устроен PAM.
Если же нужна безопасность на этапе загрузки - значит, нужно обеспечить невозможность менять конфиг grub или другого загрузчика "на лету". Только и всего.
Оно так и должно быть. Причем не только в manjaro - везде. И связано это не bash или zsh а с тем, что ядро получив на вход при запуске параметр init запускает указанное там как pid 1 задачу (По умолчанию в современных дистрибутивах это обычно systemd, в старых - специальный скрипт init), которая в свою очередь запускает все остальное. Разумеется эта задача стартует с максимальными правами (UID 0, т.е. root) - это, по сути, и есть старт системы. Но запустить таким образом в качестве pid 1 можно что угодно, даже исполняемый скрипт-самописку (если в ядре не отключена возможность запускать скрипты как программы).
По поводу безопасности - точно так же можно с какого-то live загрузится, сделать chroot и поменять пароль. Ведь root (процесс с UID 0) может менять пароль принудительно кому угодно, так устроен PAM.
Если же нужна безопасность на этапе загрузки - значит, нужно обеспечить невозможность менять конфиг grub или другого загрузчика "на лету". Только и всего.
-
- Сообщения: 1920
- Зарегистрирован: 03 сен 2016, 13:36
- Решено: 24
- Благодарил (а): 5 раз
- Поблагодарили: 264 раза
- Контактная информация:
Бага в Manjaro?
Это фича.vir0id писал(а): ↑25 фев 2019, 10:42Эксперементировал с параметрами и вспомнил старый-пристарый баг с bash. Но тут он сработал с zsh
https://vimeo.com/319413055
-
Автор темы - Сообщения: 2757
- Зарегистрирован: 19 дек 2017, 18:48
- Решено: 15
- Откуда: Рига
- Благодарил (а): 163 раза
- Поблагодарили: 305 раз
- Контактная информация:
Бага в Manjaro?
Не... одно дело когда ты вспомогательные инструменты применяешь, а другое, когда голыми руками. В своё время, каноникл узнала об такой фишке с bash и расценила это как "жук". И это было еще в grub версии один
-
- Сообщения: 4469
- Зарегистрирован: 21 июн 2017, 18:09
- Решено: 95
- Благодарил (а): 51 раз
- Поблагодарили: 1966 раз
- Контактная информация:
Бага в Manjaro?
Что значит "голыми руками"? Ты для этого как раз применяешь специальный инструмент - редактор параметров загрузки GRUB. Если у тебя комп с UEFI - настрой прямую загрузку ядра из UEFI, если с BIOS - поставь простой загрузчик вроде lilo. Или, на худой конец, отключи в GRUB возможность редактирования конфига на лету.
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 10 гостей