Linuxで管理者ユーザーのパスワードを変更できるのはなぜですか？

数日前、私の友人は、パスワードを言わなくても私のLinuxを使用できることを見せたいと思っていました。

彼はGRUBに入り、回復モードオプションを選択しました。私の最初の問題は、彼がすでに私のファイルにアクセスしていたことです（読み取り専用）。彼はpasswdを実行しようとしましたが、失敗しました。その後、彼は何らかの再マウントを行い（書き込み権限を与えたと思います）、その後、彼は私のパスワードを変更することができました。

なぜこれが可能ですか？個人的にはセキュリティの問題だと思います。私が働いているところでは、Linuxを使用する人が何人かいますが、どちらにもBIOSパスワードが設定されていないか、その他の種類のセキュリティウォールがありません。

パスワードは、外部（ネットワーク、インターネット）からのアクセスを防ぐためのものであり、それを実現します。ただし、物理アクセスはルートアクセスです。

パーティション全体を暗号化しない限り、光ディスクまたはフラッシュドライブから起動して、すべてのファイルにアクセスすることは常に可能です。この方法で、ユーザーのパスワードを保存するファイルを変更することもできます。

ただし、回復モードを無効にすることもできます。手順：

1. /etc/default/grubテキストエディタで（ルート権限で）開きます

2. 次の行のコメントを解除/追加します。

   GRUB_DISABLE_RECOVERY="true"
   

3. 変更を保存して、次のコマンドを実行します。

   sudo update-grub
   

誰かがあなたのマシンに物理的に触れることができれば、彼らは侵入することができます。

最も簡単な方法は、USBドライブにLinuxをロードし、USBスティックから起動することです。これで、ネイティブファイルシステムを表示して、好きな変更を加えることができます。

rootパスワードはいつでも変更できます。誰かがそれを忘れてしまうことは常に起こり得ます。GRUBリカバリモードを開始するには、サーバーへの物理アクセス（または仮想化されている場合はコンソールアクセス）が必要です。そのため、既にそこにいる場合は、サーバー/デスクトップ全体を使用してHDDを引き出し、フォレンジックを行うことができます。安全面ではあまり重要ではありません。

追加のセキュリティが必要な場合は、いつでもディスクを暗号化できます。これにより、リカバリが非常に難しくなります。

GRUB 1の場合、次の手順を実行します。

1. コマンドラインを開き、ルートとして入力grub-md5-crypt

2. パスワードを求められています。パスワードを確認すると、クリップボードにコピーするハッシュ値が表示されます。

3. 選択したエディターを開き、編集/boot/grub/menu.lstして最初の行に追加します。

   password --md5 "Hashvalue"
   

4. ファイルを安全にします。ハッシュ値は、コマンドgrub-md5-sumから取得したものです

GRUB2のためにこれをより簡単にあなたのセットアップをするためのツールがありhttp://sourceforge.net/projects/grubpass/入力するだけでインストールした後は：

1. grubpassrootユーザーとしてシェルにログインします。プログラムはほとんど自明です。

ただし、この種のアクセスからデータを保護する最良の方法は、フルディスク暗号化を使用することです。