Vous avez à peu près mis le doigt sur la tête lorsque vous avez dit que vous aviez besoin d'un accès physique à la machine.
Si vous avez un accès physique, vous n'avez pas besoin pour suivre les étapes officielles pour réinitialiser le mot de passe root, car vous pouvez retourner directement des bits sur le disque dur, si vous savez ce que vous faites. C'est-à-dire que vous pouvez démarrer un système d'exploitation de récupération à partir d'un DVD ou d'un lecteur flash, et monter le lecteur de cette façon pour obtenir un accès complet en lecture/écriture à l'intégralité du disque.
Le chiffrement de disque atténuera le risque, mais ne le supprimera pas entièrement* mais rendra les attaques beaucoup plus compliquées. Il est préférable de supposer qu'un attaquant disposant d'un accès physique sera en mesure d'influencer chaque aspect de l'appareil à temps.
Puisqu'il est supposé que les attaquants disposant d'un accès physique finiront toujours par obtenir un accès privilégié au compte, il est inutile de mettre les administrateurs légitimes dans des difficultés supplémentaires s'ils perdent leur mot de passe.
Toutes les distributions Linux que j'ai utilisées ont cette fonctionnalité, bien qu'il soit possible que certaines distributions destinées à un public plus paranoïaque la désactivent.
De plus, c'est une fonctionnalité standard dans BSD Unixes, qui a été testée lors de l'examen CCNA il y a au moins 15 ans lorsque je l'ai prise pour les appareils Cisco, et il est assez trivial de réinitialiser les mots de passe sur une machine Windows si elle n'est pas explicitement sécurisée.
* L'attaquant pourrait par exemple ajouter un noyau backdoor ou un initrd dans le /boot répertoire, qui doit être non chiffré car le chargeur de démarrage doit être capable de lire les fichiers du noyau et initrd.
Comment n'est-ce pas une faille de sécurité flagrante ?
Il est. L'accès physique à votre système existe la vulnérabilité ultime.
Existe-t-il un moyen de désactiver cette "fonctionnalité" afin qu'elle ne puisse pas être modifiée à partir de GRUB comme ceci ?
Pouvez-vous également le faire dans toutes les autres distributions Linux? Ou est-ce une capacité exclusive à Redhat ?
Tenez-vous au courant de ce qui se passe ici :
Votre système d'exploitation n'est même pas encore en cours d'exécution lorsque l'attaquant prend le contrôle de votre système.
Alors que GRUB est fourni packagé avec Linux, cela n'en fait pas partie intégrante, et en fait, l'attaquant pourrait remplacer GRUB par un autre chargeur de démarrage sans que le système d'exploitation en soit plus avisé.
Il ne s'agit donc pas tant que votre système d'exploitation soit vulnérable. Il s'agit de votre système d'exploitation, n'importe lequel OS vraiment, ayant été retiré de l'équation .
Même si votre disque dur est crypté, l'utilisateur doit saisir le mot de passe avant le démarrage effectif. Avec un accès physique à votre système, rien n'empêche l'attaquant, par ex. installer un enregistreur de frappe (matériel ou logiciel) pour obtenir ce mot de passe la prochaine fois qu'il sera saisi.
Puisqu'il n'y a pratiquement aucun moyen de se défendre contre un attaquant ayant un accès physique à votre machine, les systèmes d'exploitation génériques ne se soucient pas de rendre la tâche (plus) difficile pour un attaquant avec de tels privilèges. Vous avez déjà perdu le combat à ce stade.
Quelqu'un avec un accès physique est , en fait, un utilisateur root.