วิธีการรักษาความปลอดภัยโหมดการกู้คืนด้วง


14

เมื่อฉันบูตระบบเข้าสู่โหมดการกู้คืนจากเมนู GRUB ฉันสามารถเข้าสู่รูทที่ทรงพลังทั้งหมดได้โดยไม่ต้องใส่รหัสผ่านใด ๆ ดังนั้นจึงไม่ปลอดภัย

ฉันจะรักษาความปลอดภัยนี้ได้อย่างไรและตรวจสอบให้แน่ใจว่ามีการถามรหัสผ่านทุกครั้งที่ฉันพยายามเข้าถึงรูทในโหมดการกู้คืน


คุณต้องการคำอธิบายเพิ่มเติมหรือไม่
Erik Johansson

ใครช่วยกรุณาอธิบายวิธีการทำเช่นนี้ใน 14.04 LTS ฉันลองทำตามคำแนะนำที่help.ubuntu.com/community/Grub2/Passwords#Password_Encryptionรหัสผ่านไม่ได้เก็บไว้ในรูปแบบข้อความธรรมดาและไม่สามารถบูตเครื่องได้เลย - มันไม่รู้จักรหัสผ่าน นอกจากนี้ฉันไม่ต้องการรหัสผ่านเพื่อป้องกันการบูตทั้งหมดเพียงกู้คืน ใช่ฉันรู้ว่ามันไม่ได้ปลอดภัยอย่างสมบูรณ์ แต่ฉันมีข้อกำหนดจากด้านบนถึงการกู้คืนรหัสผ่านที่ป้องกัน
betseyb

คำตอบ:


9

มีการโพสต์ในฟอรัม Ubuntu เกี่ยวกับการปกป้องรายการด้วยรหัสผ่านโดยทั่วไปเพื่อให้ชุดการกู้คืนต้องการให้คุณเข้าสู่ระบบในฐานะซูเปอร์แมนด้วยรหัสผ่าน1234คุณต้องแก้ไขไฟล์ config / script ที่มีขนดก:

เพิ่มลงใน /etc/grub.d/00_header

cat << EOF
set superusers="superman"
password superman 1234
password bill 5678
EOF 

เปลี่ยน /etc/grub.d/10_linux

จาก:

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

ถึง:

if ${recovery} ; then
   printf "menuentry '${title}' --users superman ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi 

การป้องกันที่สมบูรณ์แบบเป็นเรื่องยากอย่างยิ่ง

สิ่งอื่น ๆ ที่คุณต้องทำก็คือป้องกันรหัสผ่านของไบออสปิดการบูทจากสิ่งอื่นที่ไม่ใช่ฮาร์ดไดรฟ์หลักและเข้ารหัสพาร์ติชั่นรูทของคุณและติดตั้งพาร์ติชั่นอื่น ๆ เป็น noexec ยังคงมีเวกเตอร์จำนวนมาก


ที่ดูมีแนวโน้ม จะตรวจสอบว่า
Jamess

ฉันไม่สามารถหาบรรทัดนั้นได้เลย @Ron
Randol Albert

2

วิธีที่เชื่อถือได้เพียงวิธีเดียวในการปกป้องระบบจากผู้โจมตีที่มีการเข้าถึงทางกายภาพกับเครื่องเป็นการเข้ารหัสดิสก์เต็มรูปแบบ


หรือล็อค BIOS
Reuben Swartz

1
เล็กน้อยที่จะรีเซ็ตรหัสผ่าน BIOS เมื่อคุณเข้าถึงฮาร์ดแวร์ได้ อย่างไรก็ตามดิสก์ที่เข้ารหัสด้วยวลีรหัสผ่านที่ดี (ภูมิคุ้มกันต่อการโจมตีของพจนานุกรม) จะยังคงปลอดภัยตราบใดที่ AES มีความปลอดภัย
Adam Byrtek

ไม่ใช่เรื่องง่ายเพราะคุณมักจะต้องใช้เครื่องมือและคอมพิวเตอร์เครื่องอื่นในการทำเช่นนั้น
Erik Johansson

ทุกอย่างขึ้นอยู่กับรูปแบบการคุกคาม
Adam Byrtek

0

คุณไม่สามารถปกป้องข้อมูลของคุณหากไม่ได้เข้ารหัส แต่คุณสามารถปกป้องrootผู้ใช้ เมื่อทุกคนพยายามเข้าถึงดิสก์ของคุณผ่านrecovery modeเธอ / เขาต้องการรหัสผ่าน

ตั้งรหัสผ่านรูต

sudo passwd root #set new password for user named root

ทดสอบการเข้าถึงรูต

su
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.