freeNAS_11.3控制台允许进行过于简单的密码更改:
当启动我的freeNAS测试服务器(freeNAS 11.3 Rel-p5 r325575(时,
我正在用11点启动选项菜单一段时间
----
1(配置网络接口
7(重置根密码
11(关机
----
使用选项7(我可以立即选择新密码,
对旧密码没有任何疑问。。。
在我看来,在freeNAS服务器
在某种程度上"不安全"的环境中运行的情况下,这可能是一个问题。
为什么(至少(没有选项强制
在更改为新密码之前,先对旧密码
提出问题?
来自信息技术安全的不可变定律:
定律#3:如果一个坏人对你的计算机有不受限制的物理访问权限,那么它就不再是你的计算机
您可以直接访问机器。任何好的NAS系统的远程接口都不允许远程用户在没有身份验证的情况下重置密码。然而,假设你可以对机器进行物理访问(直接访问设备上的tty、会话等,连接到物理设备的键盘(,你可以做各种事情来窃取数据。因此,重置密码按钮周围没有严密的安全措施。
尤其是对于NAS,只需抓取数据驱动器并将其挂接到不同的系统中即可读取。为了防止这种情况,请使用类似Bitlocker的东西单独和/或同时加密您的数据。然后,你必须在每次启动时输入密码,但这些数据在静止时会被加密,这意味着攻击者需要更长的时间才能获取你的数据。