क्या बूट रिपेयर आउटपुट में निजी जानकारी होती है?


9

मैंने बूट रिपेयर नामक एक सॉफ्टवेयर की मदद से अपने सिस्टम को सफलतापूर्वक पुनर्प्राप्त किया है । ठीक होने के बाद, इसने उबंटू पास्टबीन को कुछ जानकारी भेजी , कुछ इस तरह ।

क्या इस तरह के पेस्ट में निजी जानकारी होती है?

जवाबों:


3

हालांकि सर्ग का उत्तर गहराई से सुरक्षा संबंधी चिंताओं का संकेत देता है, यह अनुमान लगाने में कि http://paste.ubuntu.com के व्यवस्थापक को छोड़कर कोई भी आपके द्वारा सबमिट की गई जानकारी को प्राप्त नहीं करता है, यहां बूट-रिपेयर की आधिकारिक गोपनीयता नीति है ।


अच्छा विचार! यह जानकर बहुत अच्छा लगेगा कि क्या paste.ubuntu.com के प्रवेशक आईपी पते तक पहुँच सकते हैं जहाँ से डेटा पोस्ट किया गया है
Sergiy Kolodyazhnyy

मैंने पाया है http://pastebin.com/privacy । तो, हाँ, pastebin के व्यवस्थापक आईपी पते तक पहुँच सकते हैं। तो यह शायद एक खतरा है अगर केवल व्यवस्थापक दुष्ट हो जाते हैं। लेकिन फिर से, उस व्यवस्थापक को दूरस्थ पहुँच प्राप्त करने की आवश्यकता होगी, जिसे वह ssh या telnet अक्षम होने पर नहीं कर पाएगा।
सर्गी कोलोडियाज़नी

15

TL; DR: आप पर्याप्त सुरक्षित हैं

बूट रिपेयर रिपोर्ट जो आपने वहां लिंक की है, केवल आपके हार्ड ड्राइव और बूटलोडर सेटिंग्स के लेआउट को सूचीबद्ध करती है। यह काफी निम्न स्तर की जानकारी है जो आपके बारे में कुछ भी उपयोगी नहीं दिखाती है जहां तक ​​पटाखे का संबंध है।

एकमात्र छोटा सा हिस्सा लाइन 997 पर है, जहां यह दिखाता है /home/adam। उपयोगकर्ताओं को आमतौर पर उनके उपयोगकर्ता नाम के समान ही होम फोल्डर सौंपे जाते हैं, इसलिए यह आपके उपयोगकर्ता नाम का खुलासा करता है। हालांकि, जहां तक ​​हमलावर का सवाल है, यह अभी भी कुछ भी नहीं है। मान लीजिए कि आपने ssh सक्षम या टेलनेट सक्षम है। अब, ब्रूटफोर्स हमले की संभावना है, जैसे उपकरणhydra, जो मूल रूप से पासवर्ड के कई संयोजनों से गुजरते हैं। यदि आपके पास मजबूत पासवर्ड है, तो इसे हमलावर के लिए इसे क्रैक करने के लिए हमेशा के लिए ले जाएगा। इसके अलावा, आपके सिस्टम का कोई आईपी पता नहीं है। ऑनलाइन एक यादृच्छिक व्यक्ति आपके उपयोगकर्ता नाम का पता लगा सकता है, लेकिन आपको यह नहीं पता होगा कि आप कहां हैं। अब, अगर कोई आदमी बीच में है, तो कोई जानबूझकर आपके पैकेट को देख रहा होगा, इस जानकारी को संभावित रूप से रोक सकता है। लेकिन इस तरह के मामले में, आपके घर के बाहर एक ड्रोन उड़ता होगा या बाहर खड़ी एक वैन। ऐसा होने के लिए आपको वास्तव में वीआईपी लक्ष्य होना चाहिए। फिर हमलावर को आपके राउटर से भी गुजरना होगा; मेरा सुझाव है कि आपके पास वहां एक व्यवस्थापक पासवर्ड है - मैंने यहां कुछ ऐसे मामलों के बारे में पूछा है, जो राउबंटू पर पूछते हैं, जहां राउटर सेटिंग्स को बदल दिया गया था।

यदि आप अभी भी जानवर हमले के बारे में चिंतित हैं, तो यह करें:

खोलें /etc/security/limits.conf। यहाँ अंत में मेरा कैसे दिखता है:

#<domain>      <type>  <item>         <value>
#

#*               soft    core            0
#root            hard    core            100000
#*               hard    rss             10000
#@student        hard    nproc           20
#@faculty        soft    nproc           20
#@faculty        hard    nproc           50
#ftp             hard    nproc           0
#ftp             -       chroot          /ftp
#@student        -       maxlogins       4

xieerqi         hard    maxlogins       6
# End of file

लाइन xieerqi देखें? वह मेरा लॉगिन नाम है। यह लाइन मेरे कंप्यूटर पर मेरे उपयोगकर्ता नाम के लिए लॉगिन की मात्रा को सीमित करती है, अर्थात, सत्र की अधिकतम राशि खुलती है।

अब गौर करें /etc/login.defs। फिर, यहाँ मेरा है:

# 
# Max number of login retries if password is bad. This will most likely be
# overriden by PAM, since the default pam_unix module has it's own built
# in of 3 retries. However, this is a safe fallback in case you are using
# an authentication module that does not enforce PAM_MAXTRIES.
#
LOGIN_RETRIES           3

एक हमलावर को हमेशा के लिए और कभी भी पासवर्ड का अनुमान लगाने से रोकने के लिए, लॉगिन पेज 3 स्ट्राइक देगा, और फिर कनेक्शन समाप्त कर देगा।

नोट: इन फ़ाइलों को लिखने के लिए खोलने के लिए, आपको इसकी आवश्यकता होगी sudo, जैसेsudo vi /etc/security/limits.conf

अधिक जानकारी के लिए आप इस प्रश्न को security.stackexchange.com पर भी पूछ सकते हैं। उन लोगों को सुरक्षा के बारे में अधिक पता है जो हम यहां करते हैं


1
@AB धन्यवाद। रुको, +2? हालांकि मैं आपको केवल एक बार जवाब दे सकता हूं ओ.ओ. एबी, क्या आप हैकिंग कर रहे हैं> =)
सर्गी कोलोडियाज़नी

1
मैं अपना सर्वश्रेष्ठ प्रयास करूँगा :)
AB

1
अच्छे उत्तर के लिए धन्यवाद, इसलिए यदि मैं समझता हूं कि इसमें केवल मेरे ड्राइव के बारे में कुछ सामान्य जानकारी है। वास्तव में इस informations का उपयोग मेरे कंप्यूटर को हैक करने के लिए नहीं किया जा सकता है। इसके अलावा अगर मैं अपने पेस्ट का लिंक नहीं भेजूंगा, तो यह लगभग असंभव है। सही?
एलेक्स ५५६६

2
@ बिल्कुल सही alex5566
सर्गी Kolodyazhnyy

@ alex5566: जैसा कि आपने यहां एक उत्तर कभी स्वीकार नहीं किया है: यदि इस उत्तर ने आपकी मदद की है, तो इस पाठ के बाईं ओर ग्रे 66 पर क्लिक करना न भूलें , जिसका अर्थ है हां, यह उत्तर मान्य है ! ;-) और एक बंद कोर्स! ;-)
Fabby
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.