Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Защита от сброса пароля.

    Scheduled Pinned Locked Moved Russian
    13 Posts 5 Posters 701 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      DIMADUR
      last edited by

      Всем привет.
      Подскажите такой момент. Если железка с Pfsense попадает плохому человеку в руки. Согласно этой статье можно сбросить пароль
      https://osbsd.com/vosstanovlenie-sbros-parolya-pfsense.html
      И тогда можно собственно попасть и посмотреть конфиг.
      А есть какие нибудь инструменты защиты от этого.
      один из которых возможно я думаю есть это шифрование раздела , но я не знаю как это работает. И если после перезапуска нужно вводить ключ постоянно то это не мой вариант.
      Может кто подскажет?

      werterW P 2 Replies Last reply Reply Quote 0
      • werterW
        werter @DIMADUR
        last edited by

        Добрый
        @DIMADUR
        Если у него будет физич. доступ к пф , то только шифрование.

        1 Reply Last reply Reply Quote 0
        • JonathanLeeJ
          JonathanLee
          last edited by

          это стандартная процедура сброса пароля. Чтобы получить доступ к меню консоли, вам необходимо перезагрузить ее и подключить USB-кабель или иметь доступ по SSH. Это не тот предмет, о котором стоит беспокоиться. Маршрутизаторы Cisco также имеют специальный сброс пароля с настройкой регистров и перезагрузкой. У всех есть процесс сброса, но вопрос в том, кто может подключиться к нему напрямую, чтобы выполнить этот процесс. не беспокойся об этом.

          Make sure to upvote

          D 1 Reply Last reply Reply Quote 0
          • D
            DIMADUR @JonathanLee
            last edited by

            @JonathanLee
            В этом то и проблема.
            Что есть потребность защиты конфигурации.
            Вот к примеру Микротик. там нет механизма сброса пароля без сброса конфигурации.

            werterW 1 Reply Last reply Reply Quote 0
            • JonathanLeeJ
              JonathanLee
              last edited by

              Роутеры Mikrotik выглядят потрясающе. Спасибо, что поделились этим. Теперь я понимаю, что вы хотите иметь доступ к сохраненной конфигурации, а также иметь возможность сбросить пароль. Проблема в том, что у вас позже возникнут проблемы со старым оборудованием. Пример: однажды я купил старый брандмауэр Cisco PIX в магазине подержанной электроники, и этот брандмауэр PIX никогда не форматировался при замене, поэтому для доступа к глобальному интерфейсу командной строки мне пришлось запустить процедуру сброса после того, как я получил доступ ко всему, что было сохранено на каждом IP-адресе. сертификат и так далее. Я не плохой парень, поэтому я просто удалил его и установил свою конфигурацию, но у плохого парня в такой ситуации будет доступ к гораздо большему количеству ресурсов. Да, в некоторых ситуациях вам потребуется сбросить пароль и файл конфигурации, я бы просто сохранил файл config.xml. Поддержите это. Опять же, должен быть способ получить конфигурацию, если это необходимо. У меня есть идея попробовать открыть билет TAC, может быть, они помогут. Это для таких ситуаций, как недовольство администратора или ситуации с правоохранительными органами?

              Make sure to upvote

              D 1 Reply Last reply Reply Quote 0
              • werterW
                werter @DIMADUR
                last edited by werter

                Добрый
                @DIMADUR
                К роутеру микротик еще и человек со ЗНАНИЯМИ (хотя бы) модели OSI прилагаться должен.
                Постоянно сталкиваюсь с ситуацией ,когда владельцы 3х ларьков малый бизнесЬ, купив по "совету" микрот (понтЫ), ладу ему дать не могут.
                Вместо того, чтобы взять тотже кинетик, в к-м мультиван в ТРИ клика настраивается, напр.

                1 Reply Last reply Reply Quote 1
                • D
                  DIMADUR @JonathanLee
                  last edited by

                  @JonathanLee
                  Не дай бог иметь ситуацию с органами :-)
                  Просто оборудование стоит в месте где к нему спокойно могут получить доступ . А на сколько я понимаю получая доступ к диску с pfsense можно получить практически все данные. Это очень плохой примет.
                  в пример микротика есть опция Protected RouterBOOT.
                  Что дает защиту.
                  что касается человека в придачу к микротику, то тут не совсем понял.
                  Разве к Pfsense такого человека не требуется?

                  S 1 Reply Last reply Reply Quote 0
                  • JonathanLeeJ
                    JonathanLee
                    last edited by

                    Им нужен чип TPM для шифрования SSD, или, возможно, будущее программное обеспечение может использовать чип Netgate SafeXcel Crypto для шифрования диска.

                    Make sure to upvote

                    1 Reply Last reply Reply Quote 0
                    • S
                      stiff @DIMADUR
                      last edited by

                      @DIMADUR
                      Если бы у меня стояла подобная задача, где есть вероятность физического доступа к консоли лиц не имеющих на это прав, с целью обеспечения конфиденциальности конфига. Я бы вложил pfSense в виртуализацию, например в Proxmox

                      1 Reply Last reply Reply Quote 1
                      • P
                        pigbrother @DIMADUR
                        last edited by pigbrother

                        @DIMADUR said in Защита от сброса пароля.:

                        Согласно этой статье можно сбросить пароль

                        Как быстрый вариант половинчатого решения - включить
                        Password protect the console menu
                        Меню сброса пароля из консоли не будет доступно быстро и сразу.

                        D 1 Reply Last reply Reply Quote 1
                        • D
                          DIMADUR @pigbrother
                          last edited by

                          @pigbrother
                          Речь идет о том. Что есть доступ к файловой системе. Через нее возможен сброс пароля администратора.

                          JonathanLeeJ 1 Reply Last reply Reply Quote 0
                          • JonathanLeeJ
                            JonathanLee @DIMADUR
                            last edited by

                            @DIMADUR

                            Screenshot 2023-12-22 at 10.33.08 AM.png

                            Да, блокировка сеансов консоли паролем. Мой требует пароль для доступа к терминальной сессии. 👍

                            Make sure to upvote

                            D 1 Reply Last reply Reply Quote 0
                            • D
                              DIMADUR @JonathanLee
                              last edited by

                              @JonathanLee
                              Read this article. everything is written down there.
                              https://osbsd.com/vosstanovlenie-sbros-parolya-pfsense.html

                              1 Reply Last reply Reply Quote 1
                              • First post
                                Last post
                              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.