Security freenas在控制台上更改密码-缺少有关旧密码的问题
freeNAS_11.3控制台允许过于简单的密码更改: 启动我的freeNAS测试服务器(freeNAS 11.3 Rel-p5 r325575)时,Security freenas在控制台上更改密码-缺少有关旧密码的问题,security,password-protection,nas,Security,Password Protection,Nas,freeNAS_11.3控制台允许过于简单的密码更改: 启动我的freeNAS测试服务器(freeNAS 11.3 Rel-p5 r325575)时, 我已经启动了一段时间的选项菜单,获得了11分 ---- 1) 配置网络接口 … 7)重置根密码 … 11) 关闭 ---- 使用选项7)我可以立即选择新密码, 对旧密码没有任何疑问 在我看来,如果freeNAS服务器 在某种程度上“不安全”的环境中运行 为什么(至少)没有选择强制 首先是关于旧密码的问题 在更改为新密码之前?从: 定律3:如果一个
我已经启动了一段时间的选项菜单,获得了11分
----
1) 配置网络接口
…
7)重置根密码
…
11) 关闭
----
使用选项7)我可以立即选择新密码,
对旧密码没有任何疑问 在我看来,如果freeNAS服务器 在某种程度上“不安全”的环境中运行 为什么(至少)没有选择强制
首先是关于旧密码的问题
在更改为新密码之前?从: 定律3:如果一个坏人可以不受限制地访问你的电脑,那它就不再是你的电脑了 这里您可以直接访问机器。任何好的NAS系统的远程接口都不允许远程用户在没有身份验证的情况下重置密码。但是,假设您对机器有物理访问权(设备上的直接tty、会话等-连接到物理设备的键盘),您可以做各种事情来窃取数据。因此,重置密码按钮周围没有严密的安全措施 特别是对于NAS,您可以抓取数据驱动器并将其挂接到另一个系统中进行读取。为防止出现这种情况,请使用Bitlocker之类的工具单独和/或一次性加密数据。然后,您必须在每次启动时输入密码,但该数据将在静止状态下加密,这意味着攻击者需要更长的时间才能访问您的数据。来自: 定律3:如果一个坏人可以不受限制地访问你的电脑,那它就不再是你的电脑了 这里您可以直接访问机器。任何好的NAS系统的远程接口都不允许远程用户在没有身份验证的情况下重置密码。但是,假设您对机器有物理访问权(设备上的直接tty、会话等-连接到物理设备的键盘),您可以做各种事情来窃取数据。因此,重置密码按钮周围没有严密的安全措施 特别是对于NAS,您可以抓取数据驱动器并将其挂接到另一个系统中进行读取。为防止出现这种情况,请使用Bitlocker之类的工具单独和/或一次性加密数据。然后,您必须在每次启动时输入密码,但该数据将在静止时加密,这意味着攻击者需要更长的时间才能访问您的数据