Comments 89
При физическом доступе к машине можно поменять пароль пользователя, загрузившись в single-user mode. Или с live-cd подменить /etc/shadow. В общем, ваш метод далеко не самый простой на практике, и слишком много условий.
Пожалуй, от физического доступа к данным может помочь разве что шифрование диска.
А вот доступ к данным с зашифрованных томов в таком случае — да, не очень хорошо.
Пожалуй, от физического доступа к данным может помочь разве что шифрование диска.
А вот доступ к данным с зашифрованных томов в таком случае — да, не очень хорошо.
Примерно такая же позиция у Marc Deslauriers (человека из Ubuntu, который нам отвечал), но как написано в статье, данная бага работает с шифрованной домашней директорией. А также есть проблема с KeePass и другими системами, которые требуют локальный вход, а доступ к ним через LiveCD вы не получите (не зная пароль).
Уже увидел. Вы ждущий режим называете сном.
Если ваш пароль поменяют, вы об этом узнаете. Описанный вариант эксплуатации бага это исключает.
Видео не воспроизводится. Removed by user.
Меня бы на вашем месте в первую очередь напрягла не уязвимость в системе (она, конечно, есть — выход из sleep предполагается по паролю, но всё же добраться до неё трудно — надо получить машину в sleep и разобрать её), а то, что ваш коллега полез менять диски, не выключив компьютер (sleep — не выключение).
И вообще — в вашей модели ноутбука можно добраться до винчестера, не отсоединив аккумулятор?
Именно так и находятся интересные баги. Слабоумие и отвага!
:-)
А вообще хорошо всё, что хорошо кончается: не спалили ничего, зато нашли баг. Но всё же последовательность разборки стОит "подвесить на рефлекс", это дешевле, чем разбираться с последствиями, если что-то погорит при включении под напряжением или при падении винтика на плату.
sata-диски можно и в системнике менять на горячую почти с появления этого интерфейса. Надо только потом куда-то в proc прописать единичку для перечитывания списка дисков ОС.
Можно, но к этому надо подготовиться — размонтировать диск и всё такое.
позанудствоваю немного: sata-диск действительно можно отключать\подключать на горячую, физически диск и материнки (или контроллеры) к этому готовы (во всяком случае должны быть). Готово ли к этому ПО зависит от того, в какой режим выставлен режим совместимости SATA в биосе (или UEFI). Как правило есть 2 варианта: IDE — режим совместимости, нужен только для установки старых ОС и AHCI — новый режим, именно он поддерживает горячую замену, но в могут не работать некоторые старые ОС (тут под старыми имеется ввиду что-то типа Windows до XP и прочие досы с полуосями).
Справедливости ради стоит заметить что начиная с появления Windows Vista некоторые производители ноутбуков стали убирать из тогдашних биосов эту настройку (тогда все говорили что это MS пытается бороться с установкой WinXP на новые ноутбуки и мотивирует всех висту использовать).
Как дела на декстопах обстоят честно говоря не скажу, на серверах обычно просто: на старых моделях по умолчанию IDE, на новых AHCI выставлено. Поэтому если арендуете какую-то железку, особенно если используете софт-рейд (mdadm) то стоит перед вводом в эксплуатацию проверить текущий режим и в случае необходимости переключить его в AHCI. В противном случае для замены диска придется согласовывать даунтайм (проверить можно в dmesg например).
И раз зашла про это речь, то стоит упомянуть что если изменить данную настройку, то винда перестает грузиться, требуется ресетап или шаманство с драйверами установленной винды.
Извлечение диска в линуксе в режиме AHCI:
Установка нового диска:
Справедливости ради стоит заметить что начиная с появления Windows Vista некоторые производители ноутбуков стали убирать из тогдашних биосов эту настройку (тогда все говорили что это MS пытается бороться с установкой WinXP на новые ноутбуки и мотивирует всех висту использовать).
Как дела на декстопах обстоят честно говоря не скажу, на серверах обычно просто: на старых моделях по умолчанию IDE, на новых AHCI выставлено. Поэтому если арендуете какую-то железку, особенно если используете софт-рейд (mdadm) то стоит перед вводом в эксплуатацию проверить текущий режим и в случае необходимости переключить его в AHCI. В противном случае для замены диска придется согласовывать даунтайм (проверить можно в dmesg например).
И раз зашла про это речь, то стоит упомянуть что если изменить данную настройку, то винда перестает грузиться, требуется ресетап или шаманство с драйверами установленной винды.
Извлечение диска в линуксе в режиме AHCI:
- Находим диск физически, что бы понимать какой именно мы будем извлекать (по серийникам, по индикации бэкплейна или еще как-то)
- Перестаем использовать диск (отмонтируем ФС, переносим на другой PV наш LV если речь про LVM и т.д. Зависит от того, как у нас диск используется)
Вместо sdX указываем правильный диск.echo 1 >/sys/block/sdX/device/delete- Вытаскиваем диск физически (если нет бэкплейна, то рекомендуется сначала отключать питание, а потом дата-кабель. После отключение питания желательно подождать несколько секунд что бы головки успели запарковаться на штатное место)
Установка нового диска:
- Подключаем диск (если нет бэкплейна, то рекомендуется сначала подключать дата-кабель, а потом питание)
hostX заменяем на номер шины с диском (host0, host1 и т.д.… если не знаете можно перебрать все имеющиеся в ОС)echo "- - -" >/sys/class/scsi_host/hostX/scan
Разбирал/собирал десяток моделей ноутов. Ни у одной не заблокирован доступ к винчестеру аккумулятором.
У вас что за ноут с такой «фичей»?
У вас что за ноут с такой «фичей»?
Не, это просто я напутал (ноута под рукой не было — не проверил перед тем, как писать; и вы правы — такой фичи нет и быть в массе не может, т.к. винчестер обычно располагается не под аккумулятором, там места мало).
Но в любом случае разборку imho следует начинать с полного выключения (не hibernate и тем более не sleep) и отсоединения аккумулятора.
Как правильно разбирать/собирать, думаю, все в курсе, в этом плане я с вами абсолютно согласен. Однако, тут сыграла привычка — увидев ноут с закрытой крышкой, я решил, что он выключен.
Но проверять в любом случае полезно! Больше так делать не буду. Или буду, пока не решил :)
Но проверять в любом случае полезно! Больше так делать не буду. Или буду, пока не решил :)
Один раз я тоже разобрал ноут за ~80к, думая, как вы. И не отсоединил даже аккумулятор (хотел оптический привод на SSD заменить, думаю, зачем заморачиваться). Заменил, начинаю вкручивать винты, один срывается, падает на материнку, я вижу искорки, которые проскакивают от него, слышу «трррррр» и седею на глазах. Впрочем, ничего не случилось, ноут работает, но с тех пор тщательно проверяю, отсоединен ли аккумулятор :)
Товарищ так свой жёсткий диск убил… Причём ладно бы он диск трогал, так нет же, он просто модули оперативной памяти вытащил, осмотрел и сразу же вернул на место. При последующей попытке «включения» ноут уже не ожил, а диск восстановить не получилось никакой магией, сервис диагностировал сдохший контроллер, если я не ошибаюсь.
Мы тестовый диск раз 40-50 вытаскивали, все живы (диск, ноут и тд)
Разбирал что бы посмотреть на ОЗУ, сгорел какой-то там контроллер, а диск восстановить не получилось никакой магией.
Нее, чудеса конечно бывают, но я в них не верю. Более вероятно что ваш товарищ убил оперативку статикой (это частое явление) или повредил ее механически, а дальше ноут попал в руки не тем специалистам, которые или добили его (уронив пару раз по дороге) или поменяли планку памяти и присвоили его себе сказав вам что ничего восстановить нельзя.
Ну или последний и наиболее вероятный вариант на мой взгляд: с того момента как история случилась, до того момента как вы ее изложили в комментарии выше из нее потерялись какие-то важные детали (или наоборот появились лишние). Вполне вероятно это могло случится еще на этапе «товарищ пересказывал вам как именно дело было».
Нее, чудеса конечно бывают, но я в них не верю. Более вероятно что ваш товарищ убил оперативку статикой (это частое явление) или повредил ее механически, а дальше ноут попал в руки не тем специалистам, которые или добили его (уронив пару раз по дороге) или поменяли планку памяти и присвоили его себе сказав вам что ничего восстановить нельзя.
Ну или последний и наиболее вероятный вариант на мой взгляд: с того момента как история случилась, до того момента как вы ее изложили в комментарии выше из нее потерялись какие-то важные детали (или наоборот появились лишние). Вполне вероятно это могло случится еще на этапе «товарищ пересказывал вам как именно дело было».
HP 6077er был с такой фишкой, HDD-память под крышкой, которая отщёлкивается только после снятия аккумулятора. Нет, конечно можно и винтики отвинтить и снять всю нижнюю крышку целиком — но это дольше, ну или поддеть отверткой эту закрывающую часть — но в «штатном» режиме защелка открыть ее без снятия аккумулятора не позволяет)
Вот тут видно подобный механизм:
static.migom.by/img/articles/3075/8.jpg
Сначала «переключатель» сдвигается влево -> это «поднимает» батарею. После этого вправо — он поднимает крышку. Если не вынуть батарею вправо не двигается.
static.migom.by/img/articles/3075/8.jpg
Сначала «переключатель» сдвигается влево -> это «поднимает» батарею. После этого вправо — он поднимает крышку. Если не вынуть батарею вправо не двигается.
У многих hp подобная последовательность. Но ничего не мешает включить внешнее питание (на 6077 оно наверняка уже включено в силу старости батареи и просто потому что энергоэффективность низкая)
У современных производителей ноутбуков есть очень неприятная привычка убирать прямой доступ к оперативной памяти и жесткому диску, так что приходится полностью снимать нижнюю крышку, чтобы их поменять, соответственно, по пути приходится и аккмулятор снимать. Уж не знаю зачем они делают, видимо, проблема во все утончающихся корпусах и нарастающей жадности производителей.
Lenovo G500
www.youtube.com/watch?v=GTAa5u6xDmE
Крышка снимается после выкручивания винта, который закрыт аккумулятором.
Кроме этого под линухом есть проблемы с вайфаем/блютузом. Поэтому для домашнего использования только windows.
Имхо, очень надежно защищенный ноут от подобных багов.
www.youtube.com/watch?v=GTAa5u6xDmE
Крышка снимается после выкручивания винта, который закрыт аккумулятором.
Кроме этого под линухом есть проблемы с вайфаем/блютузом. Поэтому для домашнего использования только windows.
Имхо, очень надежно защищенный ноут от подобных багов.
Кроме этого под линухом есть проблемы с вайфаем/блютузом. Поэтому для домашнего использования только windows.
Внешний свисток в юзби разве не решит вопрос?
По такому принципу можно многие проблемы решить, но любая флешка\вайфай\модем торчащий из порта ноутбука это получение проблем на пустом месте. Положить неровно ноут, уткнув и отломив или погнув порт этой самой флешки, или зацепить неудачно рукой и тд… Разумеется, если ноутбук действительно используется как ноутбук, а не как стационарный комп, вечно стоящий в одном и том же месте…
У моего HP Probook 4320s, чтобы снять HDD, нужно
1) Перевернуть дном вверх, снять батарею
2) Открутить 4 винта под нею
3) Перевернуть дном вниз, сдвинуть панель с кнопкой включения
4) Открутить 3 винта под ней
5) Сдвинуть клавиатуру, отключить шлейф
6) Открутить 3 винта закрывавшихся клавиатурой, держащих нижнюю панель с тачпадом
7) Сдвинуть нижнюю панель, отключить шлейф
8) Наконец-то, открутить HDD, вытащить :)
Да, у него на днище нет винтов вообще, кроме тех что под батареей, и вентиляция (забор воздуха) осуществляется… через клавиатуру.
1) Перевернуть дном вверх, снять батарею
2) Открутить 4 винта под нею
3) Перевернуть дном вниз, сдвинуть панель с кнопкой включения
4) Открутить 3 винта под ней
5) Сдвинуть клавиатуру, отключить шлейф
6) Открутить 3 винта закрывавшихся клавиатурой, держащих нижнюю панель с тачпадом
7) Сдвинуть нижнюю панель, отключить шлейф
8) Наконец-то, открутить HDD, вытащить :)
Да, у него на днище нет винтов вообще, кроме тех что под батареей, и вентиляция (забор воздуха) осуществляется… через клавиатуру.
UFO just landed and posted this here
Unity ж вроде уже официально не поддерживается.
Небольшой офф: заново открыл для себя xfce — он неплохо так развивается, и отлично работает «из коробки».
Небольшой офф: заново открыл для себя xfce — он неплохо так развивается, и отлично работает «из коробки».
Хотелось бы узнать пару деталей:
- Было ли влючено в исходной системе полное шифорование диска (кроме загрузочного раздела, /boot/efi)?
- Был ли отключён раздел подкачки (swap) или же добавлено шифрование для него?
- Жёсткий диск был магнитным или SSD?
del
<ворчит как старая бабка>
А всё эти ваши новомодные ThinkPad`ы с двумя батареями. И винчестер теперь без обесточивания не поменять и лампочку убрали! Тфу!
</ворчит как старая бабка>
А если серьёзно, то проверить бы с шифрованием только пользовательского раздела.
А всё эти ваши новомодные ThinkPad`ы с двумя батареями. И винчестер теперь без обесточивания не поменять и лампочку убрали! Тфу!
</ворчит как старая бабка>
А если серьёзно, то проверить бы с шифрованием только пользовательского раздела.
А что если после разблокировки на горячую подключить винчестер, чтобы можно было сменить пароль и записать изменение, а также прочитать с него все данные?
Пробовали несколько раз, не получилось. Ещё пробовали вставить флешку, чтобы на неё сохранить данные, тоже не получилось
А что именно не получилось, на винчестере не видно данных? А если пересканировать оборудование после подключения? Может ли это зависеть от предварительных настроек системы на подключение винчестера на горячую? От флешки тут пользы сильно меньше, а вот возможность перезаписать пароль пользователя на подключенный при разблокированной системе накопитель — бесценно. Или может быть можно отключить запрос пароля при выходе из ждущего режима, затем усыпить его и вернуть винчестер на место, чтобы при повторном включении пароль уже не был запрошен. Если такая опция существует, но не может быть включена без винчестера и одновременно с этим можно вставить флешку, тогда на неё можно записать программу, которая поменяет нужное значение в памяти. Идей и вариантов масса, нужно только пробовать, вот только я виндузятник, так что идеи общие. И куда более странно, что разработчики отказались это исправлять, такого бага не должно быть в принципе, условие «если недоступны файлы с паролями — считаем проверку успешной» просто эпичное.
У меня в 16.04 что-то чудовищно сломано. Включёно шифрование и запрос пароля при выходе из спящего режима, но если система ушла в спячку с незаблокированным экраном, то при включении может до 30 секунд тупить и, вообще не реагируя на ввод, показывать рабочий стол со всеми открытыми окнами, а только потом закрыться lock-screen'ом. Это как-то совсем глупо.
Upd: собственно, похоже на этот баг bugs.launchpad.net/ubuntu/+source/unity-2d/+bug/830348
Upd: собственно, похоже на этот баг bugs.launchpad.net/ubuntu/+source/unity-2d/+bug/830348
Да этот баг у нас в статье, но у вас он совсем долго, у меня действительно оно проходит очень быстро, только на замедленной съёмке можно различить информацию в окнах.
У меня можно даже вводить что-то, пока экран успеет заблокироваться. Я уже несколько раз на такое натыкался — отошел на пару шагов, вернулся, продолжаешь работу и тут ни с того ни с сего экран блокируется. А самое эпичное, что похоже, если будет висеть какое-нибудь Qt-шное всплывающее окошко (типа выпадающего списка комбобокса), то лок экрана не наступит никогда
А самое эпичное, что похоже, если будет висеть какое-нибудь Qt-шное всплывающее окошко (типа выпадающего списка комбобокса), то лок экрана не наступит никогдаВот это уже круто, на такое чудо стоит багрепорт отдельный завести, если его ещё нет…
Да это похоже из-за того, что это окошко похищает весь ввод, так что это тот баг, что JTG указал выше по ветке. На это склоняют также и мысли, что пока такое выпадающее окно висит, горячие кнопки не работают, например, не переключается язык — явно видно, что все горячие клавиши похищаются этим окном.
Да, возможно, аналогия про комбобокс неудачная получилась — я не хотел сказать, что на комбобоксе такое наблюдал. Вообще, может они и не при чем, оказывается, тогда, когда я это более-менее уверенно наблюдал, это были кастомные всплывающие окна приложения, которая разрабатывается у нас в компании. Просто мне казалось, это штатная возможность Qt.
С другой стороны, странно, что оконная система позволяет создавать такие окна, которые препятствуют локу экрана — мне кажется, это явная дыра. Как, например, и явно небезопасная возможность любому приложению перехватить ввод пароля, просто всплыв на передний план и перехватив фокус ввода. Как весело — набиваешь себе пароль, а тут раз, какой-нибудь NetBeans грузится и ты, оказывается, уже бодро строчишь в его редакторе всем на обозрение. Причем, пакость такая, он еще и несколько раз в процессе загрузки такое делает
Подобное было у меня и с KDE, и в андроиде. Т.е. на телефоне после включения экрана можно увидеть запущенные приложения и даже (емнип) что-то в них сделать, прежде чем андроид «проснется» и отобразит lock-screen.
Самое интересное, что баг он есть баг и тут ничего не поделаешь. Только вы нашли его, допустив другой «баг». Вы меняли жесткий диск не извлекая батарею. Откровенно говоря я сильно не советовал бы этого делать, во избежание поломки оборудования. Прецеденты бывали.
А разве SATA не поддерживает hot-plug?
Ну как вам сказать. Поддерживает, да. Но контроллер hot-plug в ноутбуке разве присутствует? Я не буду вдаваться тут совсем в подробности (это будет долго, но если интересно, то могу потом написать вам и развернуто), но, если кратко, то для наглядности вы можете взять любой корпус десктопа или сервера с hot-plug и посмотреть внутрь. Там, между самим диском и интерфейсами питания и сата будет такая небольшая платка контроллера. Сама схема достаточно проста, но вот то, что это наличествует в ноутбуках вызывает у меня весьма большие сомнения. По крайней мере мне лично такое не встречалось. Если увидите (тут без иронии), то буду признателен на ссылку модели.
Но контроллер hot-plug в ноутбуке разве присутствует?
Нет, напишите развёрнуто, очень интересно послушать))
Как я понял из заканчивающих фразу смайлов — вы мне не верите. Тем не менее я проведу вам небольшой экскурс в саму конструкцию разъемов hot-plug, потому как она несколько отличается от обычной и ниже вы должны будете понять почему. В принципе, всего того, что я напишу — не потребовалось бы, если бы вы не поленились зайти хотя бы на википедию, ну да ладно — лишним в контексте и статьи и обсуждения, я полагаю — не будет.
«В большинстве современных устройств, допускающих горячую замену, используются подвижные контакты. Один из них делается длиннее других, чтобы первым входить в контакт с присоединяемой частью, через него подключается заземляющий провод. Остальные контакты делаются короче, всего может быть до 3 различных длин. Задержка между подключением первого контакта и последующих составляет от 25 до 250 миллисекунд.
Цепи питания подключаются в две стадии: в первой с помощью более длинных контактов подключается цепь, ограниченная по току, а затем более короткими — питание полной мощности. Все цепи, участвующие в соединении, содержат защиту от статического электричества.
Вот пример типичной последовательности подключения:
Замыкаются наиболее длинные контакты (заземление). Тем самым достигается электрическая безопасность соединения и защита от статического заряда.
Замыкаются длинные или средние контакты предварительного питания. Заряжаются входные контуры цепей питания.
Задержка в десятки миллисекунд.
Подключаются короткие контакты питания.
Соединение считается установленным. Включается сигнал инициализации питания.
Цепь мягкого включения питания подает напряжение на устройство.
Задержка в десятки миллисекунд.
Цепь питания закончила мягкое подключение. Выключается сигнал инициализации питания.
Устройство начинает полноценную работу.»
И да, я процитировал. Лучше на мой взгляд — описать сложно.
Теперь вернемся к ноутбукам, сама конструкция которых не подразумевает частой замены жесткого диска. Именно по этой причине контроллер hot-plug там, зачастую, и не присутствует. Если вы знаете модели где это реализовано то — отпишите. Как я понял из предыдущего вашего поста, вам было проще нарисовать смайлов, чем привести модели ноутбуков с Hot-plug.
«В большинстве современных устройств, допускающих горячую замену, используются подвижные контакты. Один из них делается длиннее других, чтобы первым входить в контакт с присоединяемой частью, через него подключается заземляющий провод. Остальные контакты делаются короче, всего может быть до 3 различных длин. Задержка между подключением первого контакта и последующих составляет от 25 до 250 миллисекунд.
Цепи питания подключаются в две стадии: в первой с помощью более длинных контактов подключается цепь, ограниченная по току, а затем более короткими — питание полной мощности. Все цепи, участвующие в соединении, содержат защиту от статического электричества.
Вот пример типичной последовательности подключения:
Замыкаются наиболее длинные контакты (заземление). Тем самым достигается электрическая безопасность соединения и защита от статического заряда.
Замыкаются длинные или средние контакты предварительного питания. Заряжаются входные контуры цепей питания.
Задержка в десятки миллисекунд.
Подключаются короткие контакты питания.
Соединение считается установленным. Включается сигнал инициализации питания.
Цепь мягкого включения питания подает напряжение на устройство.
Задержка в десятки миллисекунд.
Цепь питания закончила мягкое подключение. Выключается сигнал инициализации питания.
Устройство начинает полноценную работу.»
И да, я процитировал. Лучше на мой взгляд — описать сложно.
Теперь вернемся к ноутбукам, сама конструкция которых не подразумевает частой замены жесткого диска. Именно по этой причине контроллер hot-plug там, зачастую, и не присутствует. Если вы знаете модели где это реализовано то — отпишите. Как я понял из предыдущего вашего поста, вам было проще нарисовать смайлов, чем привести модели ноутбуков с Hot-plug.
Расскажите, пожалуйста, более подробно про контроллер hot-plug. Что это такое?
Я вам даже написал выше где вы можете посмотреть на него своими глазами.
Расскажите своими словами)
UFO just landed and posted this here
В SATA контакты земли чуть длиньше остальных (фото), как и в USB типа A контакты питания, чтобы при подключении цепляться первыми, и только потом — линии данных. Режим Hot-plug часто можно включить в биосе, причём отдельно для каждого SATA-разъёма, и он не требует какого-то отдельного контроллера.
Чисто электрически, SATA является hotplug-совместимым. Другое дело, что для такого режима эксплуатации требуется ещё и программная поддержка. Без неё «отвалившийся» девайс не будет виден системой до перезагрузки компьютера.
Программная поддержка hotplug в windows включается через правку реестра (семёрка и старше), в linux работает изкаропки.
В отличие от PATA, стандарт SATA предусматривает горячее подключение устройства (используемого операционной системой) (начиная с SATA Revision 1.0)
Начиная с ревизии SATA 2.6 был определен slimline коннектор, предназначенный для малогабаритных устройств — оптических приводов для ноутбуков. Контакт #1 slimline указывает на присутствие устройства, что позволяет выполнять горячую замену устройства. Slimline signal коннектор идентичен стандартной версии. Slimline power connector имеет уменьшенную ширину и уменьшенный шаг контактов в нем, поэтому коннекторы питания SATA и slimline SATA полностью не совместимы между собой. Контакты slimline power connector питания обеспечивают только +5 В, не предоставляя +12 В и +3.3 В.
Программная поддержка hotplug в windows включается через правку реестра (семёрка и старше), в linux работает изкаропки.
В целом, скринсевер не должен падать из-за ошибок файловой системы. Что происходит с ноутбуком:
Из системы убирают /dev/sd*. Для тестирования не нужно дёргать диск на живую, можно просто зайти под рутом и сделать вот так вот:
Отвечая комментаторам: почему не работает «воткнуть другой диск с другим паролем на живую» — потому что устройства монтируются по их minor:major, а если вы втыкаете в систему «ещё один диск» на тот же самый слот, предварительно не удалив предыдущее блочное устройство, то диск получает следующий minor (т.е. sdb, etc).
Удалить же блочное устройство без отмонтирования файловой системы с него нельзя. Даже если визуально будет казаться, что оно удалено, система не сможет использовать тот же minor пока все структуры ядра не освобождены.
upd: дайте ссылку на баг.
Из системы убирают /dev/sd*. Для тестирования не нужно дёргать диск на живую, можно просто зайти под рутом и сделать вот так вот:
echo 1 > /sys/block/sda/device/delete
Отвечая комментаторам: почему не работает «воткнуть другой диск с другим паролем на живую» — потому что устройства монтируются по их minor:major, а если вы втыкаете в систему «ещё один диск» на тот же самый слот, предварительно не удалив предыдущее блочное устройство, то диск получает следующий minor (т.е. sdb, etc).
Удалить же блочное устройство без отмонтирования файловой системы с него нельзя. Даже если визуально будет казаться, что оно удалено, система не сможет использовать тот же minor пока все структуры ядра не освобождены.
upd: дайте ссылку на баг.
мы за живые эксперименты:)
Вот ссылка: bugs.launchpad.net/ubuntu/+source/unity/+bug/1777415, решили перенести баг в раздел «Public Security»
Вот ссылка: bugs.launchpad.net/ubuntu/+source/unity/+bug/1777415, решили перенести баг в раздел «Public Security»
Команда убунты в своём стиле — криворуки и некомпетентны.
Боже мой, и этот Marc Deslauriers реально работает в Canonical? Пора менять дистрибутив, если контора публично не извинится за некомпетентность своего сотрудника. Одно дело — аппаратная уязвимость (Cold Boot атака эта), и совершенно другое — программная дырень с уходом в сон. То, что имея физический доступ к компьютеру можно слить с него все данные (типа) — это вообще не аргумент, уже лет 15 как распространенно тотальное шифрование дисков (Opal отлично взаимодействует с современными SSD, многие из которых физически не могут не шифровать данные, просто без контроллера делают это пустым паролем).
То, что имея физический доступ к компьютеру можно слить с него все данные (типа) — это вообще не аргумент, уже лет 15 как распространенно тотальное шифрование дисков
Так при полнодисковом шифровании и описанная атака невозможна. Если у вас полнодисковое шифрование — вы защищены от атак на физическом уровне (тут есть нюансы типа Evil Maid, но это решается безопасной загрузкой и подписыванием всех компонентов, участвующих в ней).
А если у вас зашифрован то домашний раздел, то злоумышленник имеет полный доступ к системному разделу со всеми вытекающими последствиями в виде возможности что-нибудь туда присунуть.
Если шифрование вообще не используется, то тут и говорить не о чем — не нужно никаких плясок с дисками, достаточно снять образ и спокойно его изучать.
Люди в описании бага на launchpad.net, говорят что у них отработало при полном шифровании диска
Что-то я не понимаю. Если при физическом доступе и баг не баг, и дыра не дыра — то зачем вообще пароли пользователей придумали?
Эхх, на десктопном Linux в любой оболочке походу баги отрисовки всех мастей просто)
Интересно, я вот недавно обнаружил такую неприятную штуку, не знаю можно ли назвать это багом.
Смысл такой — KDE у меня на ноуте иногда подлагивает, иногда славливаю великую ошибку 12309, и тогда приходишься через Ctrl+Alt+F2 к примеру логинится в терминальную сессию и грохать приложение которое жрёт больше всех оперативки(Процесс очень долгий т.к. всё лагает, но терпение помогает с этим справится). И вот как то я убил надоедающее приложение, переключился опять на графическую сессию. Закрываем ноут, он уходит в сон(suspended). Далее открываем ноут, и получаем залоченую графическую сессию, в неё нам не войти, нужен пароль, а перейдя на терминальную сессию видим что она не залочена.
Как вариант(у меня zsh) был закрыть это программой vlock + переменной TMOUT в zshrc, но она наотрез отказалась работать с zsh и в итоге я вообще никак не мог залогинится. А если до этого ещё прописать, чтобы у тебя все терминалы работали через tmux, то была залоченаая терминальная сессия, а с помощью простой комбинации разделения сессий мы получали ещё одну незалоченную.
Смысл такой — KDE у меня на ноуте иногда подлагивает, иногда славливаю великую ошибку 12309, и тогда приходишься через Ctrl+Alt+F2 к примеру логинится в терминальную сессию и грохать приложение которое жрёт больше всех оперативки(Процесс очень долгий т.к. всё лагает, но терпение помогает с этим справится). И вот как то я убил надоедающее приложение, переключился опять на графическую сессию. Закрываем ноут, он уходит в сон(suspended). Далее открываем ноут, и получаем залоченую графическую сессию, в неё нам не войти, нужен пароль, а перейдя на терминальную сессию видим что она не залочена.
Как вариант(у меня zsh) был закрыть это программой vlock + переменной TMOUT в zshrc, но она наотрез отказалась работать с zsh и в итоге я вообще никак не мог залогинится. А если до этого ещё прописать, чтобы у тебя все терминалы работали через tmux, то была залоченаая терминальная сессия, а с помощью простой комбинации разделения сессий мы получали ещё одну незалоченную.
приходишься через Ctrl+Alt+F2 к примеру логинится в терминальную сессию и грохать приложение которое жрёт больше всех оперативки(Процесс очень долгий т.к. всё лагает, но терпение помогает с этим справится).
Alt+PrintScreen+F
И зачем поставили минус человеку? Абсолютно корректный совет.
Alt + SysRq + F — позволяет вызвать обработчик oom_kill (out-of-memory kill) для прерывания приложений, забравших слишком много памяти (может занять продолжительное время). Используйте его, если свободная память совсем истощилась, так что система не реагирует ни на какой иной ввод (курсор мыши не движется, индикаторы NumLock/CapsLock не включаются, но индикатор работы накопителя всё время включен);
Alt + SysRq + F — позволяет вызвать обработчик oom_kill (out-of-memory kill) для прерывания приложений, забравших слишком много памяти (может занять продолжительное время). Используйте его, если свободная память совсем истощилась, так что система не реагирует ни на какой иной ввод (курсор мыши не движется, индикаторы NumLock/CapsLock не включаются, но индикатор работы накопителя всё время включен);
Marc Deslauriers отчасти прав. Если злоумышленник получил физический доступ (к машине с зашифрованным /home), гораздо сильнее вас должно волновать то, что он мог подменить системные файлы (остальные каталоги-то не зашифрованы). Просмотр открытых документов — меньшая из ваших проблем, у вас уже скомпрометирована система.
А если вы защитились от такого сценария (полнодисковое шифрование), то и атака с подменой диска не сработает (вы это проверили).
А если вы защитились от такого сценария (полнодисковое шифрование), то и атака с подменой диска не сработает (вы это проверили).
Люди в описании бага на launchpad.net, говорят что у них отработало при полном шифровании диска
Sign up to leave a comment.
Локальная авторизация без пароля в Ubuntu