ฉันจะป้องกันไม่ให้บุคคลอื่นรีเซ็ตรหัสผ่านด้วย Live CD ได้อย่างไร


55

เมื่อเร็ว ๆ นี้เพื่อนคนหนึ่งของฉันมาที่บ้านของฉันภายใน 15 นาทีเขาแฮ็คบัญชีของฉันโดยใช้ Live CD และรีเซ็ตรหัสผ่านต่อหน้าฉัน ฉันรู้สึกงุนงงเมื่อเห็นสิ่งนั้น โปรดแนะนำฉันเพื่อป้องกันความพยายามในอนาคตโดยใช้ Live CD


10
ถอดดิสก์ไดรฟ์ออปติคัล
ไม่ระบุชื่อ

7
คุณอาจสนใจที่จะรู้ว่ามันเป็นไปได้ที่จะทำสิ่งเดียวกันใน Windows เมื่อฉันทำงานด้านไอทีในมหาวิทยาลัยขนาดใหญ่ฉันมีแผ่นซีดีกับฉันเพื่อให้ฉันสามารถทำได้ถ้าจำเป็น ไม่มีคอมพิวเตอร์ที่ปลอดภัยหากสามารถบู๊ตจากสื่ออื่นได้
ตวัด

4
เสียงกลวงกระซิบ "การเข้ารหัสดิสก์เต็ม"
Joshua

คำตอบ:


56

วิธีที่ง่ายและรวดเร็วในการทำเช่นนี้คือการปิดใช้งานการบูตจากซีดีและ USB sticks ใน BIOS ของคุณและตั้งรหัสผ่าน BIOS

ตามหน้าวิกินี้ :

การวางรหัสผ่านหรือรายการเมนูล็อค (ในไฟล์กำหนดค่า Grub) ไม่ได้ป้องกันผู้ใช้จากการบู๊ตด้วยตนเองโดยใช้คำสั่งที่ป้อนที่บรรทัดคำสั่ง grub

อย่างไรก็ตามไม่มีอะไรหยุดใครบางคนจากการขโมยฮาร์ดไดรฟ์ของคุณและติดตั้งบนเครื่องอื่นหรือรีเซ็ต BIOS ของคุณโดยการถอดแบตเตอรี่หรือหนึ่งในวิธีอื่น ๆ ที่ผู้โจมตีสามารถใช้เมื่อพวกเขาสามารถเข้าถึงเครื่องของคุณได้

วิธีที่ดีกว่าคือการเข้ารหัสไดรฟ์ของคุณคุณสามารถทำได้โดยเข้ารหัสไดเรกทอรีหลักหรือเข้ารหัสดิสก์ทั้งหมด:


2
ไม่เพียงพอ - คุณต้องปิดใช้งานโหมดการกู้คืนและล็อค GRUB2 เพื่อไม่ให้ระบุตัวเลือกการบูต (หรือไม่สามารถระบุได้โดยไม่ต้องป้อนรหัสผ่าน) เมื่อทำสิ่งนี้เสร็จแล้วไม่เพียง แต่จะไม่หยุดใครบางคนจากการขโมยฮาร์ดไดรฟ์ แต่คนที่เปิดคอมพิวเตอร์สามารถปิดการใช้งานรหัสผ่าน BIOS และคนที่ไม่ต้องการเปิดคอมพิวเตอร์ก็สามารถขโมยคอมพิวเตอร์ทั้งหมดได้
Eliah Kagan

แต่เพื่อนจะทำอย่างไรถ้ามีคนเพิ่งเปิดฮาร์ดดิสก์ของฉัน/ etc / shadowเปลี่ยนรหัสผ่านที่เข้ารหัสของฉันแล้วรีบูตไดเรกทอรีบ้านที่เข้ารหัสจะเปิดให้เขาด้วย
coder

10
@shariq หากมีคนเปลี่ยนรหัสผ่านของคุณใน / etc / shadow จากนั้นโฮมไดเร็กตอรี่ที่เข้ารหัสจะไม่เปิดเมื่อมีคนเข้าสู่ระบบด้วยรหัสผ่านใหม่ ในกรณีดังกล่าวโฮมไดเร็กตอรี่ที่เข้ารหัสจะต้องทำการเมาท์ด้วยตนเองด้วยรหัสผ่านเก่าและหากไม่มีใครรู้รหัสผ่านเก่ามันจะต้องแตกซึ่งจะยากและค่อนข้างจะล้มเหลว เมื่อคุณเข้ารหัสโฮมไดเรกทอรีของคุณการเปลี่ยนรหัสผ่านโดยการแก้ไข / etc / shadow จะไม่เปลี่ยนรหัสผ่านที่ข้อมูลของคุณเข้ารหัส
Eliah Kagan

@EliahKagan ฉันไม่สามารถให้ข้อมูลเกี่ยวกับวิธีการทำเช่นนั้นได้ดังนั้นฉันจึงเสนอราคาหน้า wiki หากคุณพบว่ามีข้อมูลเพิ่มเติมที่สามารถแก้ไขได้ในคำตอบของฉัน
Jorge Castro

6
+1 สิ่งแรกที่ฉันนึกถึงคือเข้ารหัสไดเรกทอรีหลัก
นาธานออสมัน

50

ยืนถัดจากคอมพิวเตอร์ของคุณในขณะที่ถือไม้ตีลูกบอล เอาชนะใครก็ตามที่เข้ามาใกล้อย่างรุนแรง

หรือล็อคมัน

หากคอมพิวเตอร์ของคุณสามารถเข้าถึงได้ทางกายภาพจะไม่ปลอดภัย


18
สิ่งนี้จะป้องกันเราจากคนที่มีสุนัขใหญ่และปืนกลได้อย่างไร : D
jrg

3
รักษาความปลอดภัยคอมพิวเตอร์ด้วยสุนัขและใช้กล้องรักษาความปลอดภัยเพื่อปกป้องสุนัขและปืนติดอาวุธในห้องถัดไป
Kangarooo

3
+1 สำหรับความจริงจังของคำตอบนี้ คุณทำได้ดีมากที่นี่และสมควรได้รับคะแนน
RolandiXor

1
+1 สำหรับคำตอบที่ยอดเยี่ยมและความคิดเห็น .. ฉันไม่สามารถหยุดเสียงหัวเราะของตัวเองได้ดัง !! : D :) @jrg เป็นคนที่ดีที่สุดของเขา .. ฮ่า ๆ ๆ ๆ ๆ ๆ ๆ ๆ ๆ ๆ ๆ ๆ ๆ ๆ ๆ ๆ ๆ ๆ ๆ ๆ ๆ ๆ ๆ ๆ ๆ ๆ กับ :) ดูดีที่เห็นสิ่งนี้ใน askubuntu
Saurav Kumar

26

ก่อนเตือน ...

ขั้นตอนการป้องกันด้วยรหัสผ่านของ grub2 นั้นค่อนข้างยุ่งยากและหากคุณเข้าใจผิดมีความเป็นไปได้ที่จะปล่อยให้ตัวเองอยู่กับระบบที่ไม่สามารถบู๊ตได้ ดังนั้นจึงมักจะทำการสำรองข้อมูลรูปแบบของฮาร์ดไดรฟ์ของคุณก่อน คำแนะนำของฉันจะใช้Clonezilla - เครื่องมือสำรองอื่นเช่นPartImageสามารถใช้

หากคุณต้องการฝึกฝนสิ่งนี้ - ใช้เครื่องเสมือนแขกซึ่งคุณสามารถย้อนกลับสแน็ปช็อตได้

เอาล่ะ

ขั้นตอนด้านล่างนี้ช่วยป้องกันการแก้ไขการตั้งค่า Grub โดยไม่ได้รับอนุญาตในขณะทำการบูทนั่นคือการกดeเพื่อแก้ไขจะช่วยให้คุณเปลี่ยนตัวเลือกการบูต ตัวอย่างเช่นคุณสามารถบังคับให้ทำการบูทไปที่โหมดผู้ใช้คนเดียวและเข้าถึงฮาร์ดดิสก์ของคุณได้

ขั้นตอนนี้ควรใช้ร่วมกับการเข้ารหัสฮาร์ดดิสก์และตัวเลือกการบูตไบออสที่ปลอดภัยเพื่อป้องกันการบูตจากซีดีสดตามที่อธิบายไว้ในคำตอบที่เกี่ยวข้องกับคำถามนี้

เกือบทุกอย่างด้านล่างสามารถคัดลอกและวางทีละบรรทัด

ก่อนอื่นให้สำรองไฟล์ด้วงที่เราจะแก้ไข - เปิดเทอร์มินัลเซสชัน:

sudo mkdir /etc/grub.d_backup
sudo cp /etc/grub.d/* /etc/grub.d_backup

ให้สร้างชื่อผู้ใช้สำหรับด้วง:

gksudo gedit /etc/grub.d/00_header &

เลื่อนไปที่ด้านล่างเพิ่มบรรทัดว่างใหม่และคัดลอกและวางต่อไปนี้:

cat << EOF
set superusers="myusername"
password myusername xxxx
password recovery 1234
EOF

ในตัวอย่างนี้มีการสร้างชื่อผู้ใช้สองชื่อ: myusernameและการกู้คืน

ถัดไป - นำทางกลับไปที่เทอร์มินัล (อย่าปิดgedit):

ผู้ใช้งาน Natty และ Oneiric เท่านั้น

สร้างรหัสผ่านที่เข้ารหัสโดยการพิมพ์

grub-mkpasswd-pbkdf2

ป้อนรหัสผ่านของคุณคุณจะใช้สองครั้งเมื่อได้รับแจ้ง

Your PBKDF2 is grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

บิตที่เราสนใจเริ่มต้นgrub.pbkdf2...และสิ้นสุดBBE2646

เน้นส่วนนี้โดยใช้เมาส์คลิกขวาและคัดลอก

สลับกลับไปที่geditแอปพลิเคชันของคุณ- เน้นข้อความ "xxxx" และแทนที่ด้วยสิ่งที่คุณคัดลอก (คลิกขวาและวาง)

เช่นบรรทัดควรมีลักษณะเช่น

password myusername grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

ทุกรุ่น 'buntu (ชัดเจนขึ้นไป)

บันทึกและปิดไฟล์

ในที่สุดคุณจะต้องใช้รหัสผ่านเพื่อป้องกันแต่ละรายการในเมนูด้วง (ไฟล์ทั้งหมดที่มีบรรทัดที่ขึ้นต้นด้วยmenuentry ):

cd /etc/grub.d
sudo sed -i -e '/^menuentry /s/ {/ --users myusername {/' *

สิ่งนี้จะเพิ่มรายการใหม่--users myusernameให้กับแต่ละบรรทัด

เรียกใช้ update-grub เพื่อสร้างด้วงของคุณใหม่

sudo update-grub

เมื่อคุณพยายามที่จะแก้ไขรายการด้วงก็จะขอชื่อผู้ใช้ของคุณคือMyUserNameและรหัสผ่านที่คุณใช้

รีบูตและทดสอบว่ามีการบังคับใช้ชื่อผู้ใช้และรหัสผ่านเมื่อแก้ไขรายการด้วงทั้งหมด

อย่าลืมกดSHIFTระหว่างการบู๊ตเพื่อแสดงด้วงของคุณ

รหัสผ่านปกป้องโหมดการกู้คืน

ทั้งหมดข้างต้นสามารถแก้ไขได้อย่างง่ายดายโดยใช้โหมดการกู้คืน

โชคดีที่คุณยังสามารถบังคับให้ชื่อผู้ใช้และรหัสผ่านใช้รายการเมนูโหมดการกู้คืน ในส่วนแรกของคำตอบนี้เราจะสร้างชื่อผู้ใช้เพิ่มเติมที่เรียกว่าการกู้คืนด้วยรหัสผ่านของ1234 ในการใช้ชื่อผู้ใช้นี้เราจำเป็นต้องแก้ไขไฟล์ต่อไปนี้:

gksudo gedit /etc/grub.d/10_linux

เปลี่ยนสายจาก:

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

ไปที่:

if ${recovery} ; then
   printf "menuentry '${title}' --users recovery ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi 

เมื่อใช้การกู้คืนให้ใช้การกู้คืนชื่อผู้ใช้และรหัสผ่าน1234

วิ่งsudo update-grubเพื่อสร้างไฟล์ด้วงของคุณใหม่

รีบูตและทดสอบว่าคุณถูกถามว่าเป็นชื่อผู้ใช้และรหัสผ่านเมื่อพยายามบูตในโหมดการกู้คืน


ข้อมูลเพิ่มเติม - http://ubuntuforums.org/showthread.php?t=1369019


Hi! ผมทำตามกวดวิชาของคุณและทำงาน ... แต่ถ้าคุณเลือกรุ่นอื่น ๆ ที่คุณสามารถใช้ "E" คีย์ไม่มีรหัสผ่าน
gsedej

Raring ไม่มีบรรทัดprintf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"สำหรับการกู้คืน แต่คล้ายกับภายใน if function คุณช่วยแนะนำวิธีแก้ไขได้ไหม?
papukaija

5

สิ่งสำคัญคือต้องจำไว้ว่าถ้ามีคนเข้าถึงเครื่องของคุณทางกายภาพพวกเขาจะสามารถทำสิ่งต่าง ๆ กับพีซีของคุณได้ตลอดเวลา สิ่งต่าง ๆ เช่นการล็อคเคสพีซีของคุณและรหัสผ่าน BIOS จะไม่หยุดบุคคลที่กำหนดจากการใช้ฮาร์ดไดรฟ์และข้อมูลของคุณ


3
ในบางสถานการณ์สิ่งเหล่านี้จะหยุดแม้กระทั่งบุคคลที่มีความตั้งใจไม่ให้ใช้ฮาร์ดไดรฟ์และข้อมูลของคุณ ตัวอย่างเช่นหากเป็นเครื่องคีออสในร้านอินเทอร์เน็ตที่มีความปลอดภัยทางกายภาพที่ดี (กล้องรักษาความปลอดภัยเจ้าหน้าที่รักษาความปลอดภัยเจ้าของ / พนักงานคอยเฝ้าระวัง) บุคคลที่ตั้งใจจะยังคงพยายามขโมยเครื่องหรือฮาร์ดไดรฟ์ของตน ล้มเหลว.
Eliah Kagan

4
ถ้าคุณขโมยฮาร์ดไดรฟ์จากเครื่องที่มีการเข้ารหัสข้อมูลคุณจะต้องถอดรหัสการเข้ารหัสเพื่อเข้าถึงข้อมูลและด้วยรหัสผ่านที่มีคุณภาพการทำเช่นนั้นอาจเป็นเรื่องยาก ... หรืออาจเป็นไปได้ เป็นไปไม่ได้
Eliah Kagan

-2

คุณสามารถทำได้แม้ในกรณีของการรีเซ็ต "ตัวรีเซ็ต" จะไม่สามารถดูข้อมูลได้

/homeการทำเช่นนี้เพียงเข้ารหัส

หากคุณต้องการทำให้เป็นไปไม่ได้ที่การรีเซ็ตจะต้องมีบางสิ่งที่จำเป็นต้องลบออกซึ่งรับผิดชอบการเปลี่ยนรหัสผ่าน


การเข้าถึงไฟล์ส่วนบุคคลของคุณไม่ได้เป็นเพียงข้อกังวล หากกล่าวว่าบัญชีของคุณมีsudoสิทธิ์พวกเขาไม่จำเป็นต้อง/homeทำความเสียหายร้ายแรง
เควิน
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.