ความสามารถในการบุกเข้าไปในเครื่อง Linux ผ่าน grub2 ปลอดภัยได้อย่างไร?

ความสามารถของบุคคลที่ได้รับการเข้าถึงทางกายภาพไปยังคอมพิวเตอร์ของคุณเพื่อรูทด้วยขั้นตอนเหล่านั้นอย่างปลอดภัยอย่างไร?

1. เมื่อเมนู grub2 เปิดขึ้นให้กด e เพื่อแก้ไขตัวเลือกการเริ่ม Linux

2. เปลี่ยนแปลง:

   "linux   /vmlinuz-2.6.35-23-generic root=UUID=e7f1e48d-0015-485f-be7d-836217a31312 ro   quiet splash" 
   

   ไปที่:

   "linux   /vmlinuz-2.6.35-23-generic root=UUID=e7f1e48d-0015-485f-be7d-836217a31312 ro init=/bin/bash"
   

3. ตอนนี้คุณสามารถเข้าถึงรูทได้แล้ว:

   mount -o remount,rw /
   passwd user
   mount -o remount,ro / 
   sync
   

4. รีคอมพิวเตอร์และคุณจะชนะ

คำถามของฉันคือจะสามารถเจาะเข้าไปในเครื่อง Linux ผ่าน grub2 ปลอดภัยได้อย่างไร? ฉันไม่เข้าใจความจริงเกี่ยวกับ Linux ขอบคุณสำหรับคำตอบของคุณ

ความสามารถของบุคคลที่เข้าถึงคอมพิวเตอร์ของคุณเพื่อรับรูท [ใช้ Grub / Bash] มีความปลอดภัยอย่างไร?

เพราะถ้าลีนุกซ์ตัดสินใจที่จะเริ่มทำเช่นนั้นแฮกเกอร์ก็จะเจาะช่องโหว่ด้านความปลอดภัยอื่น ๆ กฎความปลอดภัยข้อแรกคือถ้าฉันเข้าถึงระบบของคุณได้จริง ฉันชนะแล้ว

นอกจากนี้ลองจินตนาการว่าเซิร์ฟเวอร์ X ของคุณพังและคุณไม่มี GUI อีกต่อไป คุณต้องบูตเข้าสู่คอนโซลการกู้คืนเพื่อแก้ไขสิ่งต่าง ๆ แต่คุณทำไม่ได้เพราะมันไม่ปลอดภัย ในกรณีนี้คุณจะเหลือระบบที่เสียโดยสิ้นเชิง แต่อย่างน้อยก็คือ "ปลอดภัย!"

แต่ Kaz นี่เป็นไปได้อย่างไร ฉันตั้งรหัสผ่านบน Grub ของฉันเพื่อที่คุณจะไม่สามารถเปลี่ยนinitเป็น Bash ได้!

โอ้ใช่แล้วคุณล่ะ น่าสนใจเพราะนี่ดูเหมือนอัลบั้มรูปของคุณ ด้วงไม่ได้มีปัจจัยด้านความปลอดภัยที่แท้จริง มันเป็นเพียงbootloaderไม่ใช่ขั้นตอนในการบู๊ตและการรับรองความถูกต้อง "รหัสผ่าน" ที่คุณตั้งไว้ในความเป็นจริงแล้วสวยง่ายที่จะข้าม

และสิ่งใดที่ดูแลระบบไม่ได้มีไดรฟ์สำหรับบูตในกรณีฉุกเฉิน

แต่อย่างไร! คุณไม่ทราบรหัสผ่านของฉัน (ซึ่งไม่ทั้งหมดP@ssw0rdbtw)

ใช่ แต่นั่นไม่ได้หยุดฉันจากการเปิดคอมพิวเตอร์ของคุณและดึงฮาร์ดไดรฟ์ออกมา จากตรงนั้นเป็นขั้นตอนง่ายๆสองสามขั้นตอนในการติดตั้งไดรฟ์ของคุณบนคอมพิวเตอร์ทำให้ฉันสามารถเข้าถึงระบบทั้งหมดของคุณได้ สิ่งนี้ยังมีประโยชน์ที่ยอดเยี่ยมในการเลี่ยงรหัสผ่าน BIOS หรือฉันแค่รีเซ็ต CMOS ของคุณ อย่างใดอย่างหนึ่งหรือ.

ดังนั้น ... ฉันจะไม่ให้คุณเข้าถึงข้อมูลของฉันได้อย่างไร

ง่าย ทำให้คอมพิวเตอร์ของคุณอยู่ห่างจากฉัน หากฉันสามารถแตะเข้าถึงแป้นพิมพ์ใส่แฟลชไดรฟ์ของฉันเองหรือแยกออกจากกันฉันก็สามารถชนะได้

ดังนั้นฉันสามารถวางคอมพิวเตอร์ไว้ในศูนย์ข้อมูลหรืออะไรบางอย่างได้ไหม มันค่อนข้างปลอดภัยใช่ไหม

ใช่พวกเขาเป็น แต่คุณลืมไปว่ามนุษย์ก็สามารถแฮ็คได้เช่นกันและให้เวลาและการเตรียมการมากพอฉันอาจจะเข้าไปในศูนย์ข้อมูลนั้นและสูบฉีดข้อมูลที่หวานและหวานออกมาจากคอมพิวเตอร์ของคุณ แต่ฉันเชือนแช เรากำลังจัดการกับทางออกที่แท้จริงที่นี่

เอาล่ะคุณเรียกว่าป้านของฉัน ฉันไม่สามารถวางไว้ในศูนย์ข้อมูล ฉันสามารถเข้ารหัสโฟลเดอร์บ้านหรืออะไรบางอย่างได้หรือไม่

แน่นอนคุณสามารถ! มันคือคอมพิวเตอร์ของคุณ! มันจะช่วยหยุดฉันได้ไหม ไม่ได้อยู่ในที่น้อยที่สุด ฉันสามารถแทนที่สิ่งที่สำคัญเช่นเดียว/usr/bin/firefoxกับโปรแกรมที่เป็นอันตรายของฉัน ครั้งต่อไปที่คุณเปิด Firefox ข้อมูลลับทั้งหมดของคุณจะถูกดูดออกไปยังเซิร์ฟเวอร์ลับบางแห่งซึ่งเป็นความลับ และคุณจะไม่รู้ด้วยซ้ำ หรือถ้าฉันมีการเข้าถึงเครื่องของคุณบ่อยครั้งฉันสามารถตั้งค่าโฮมโฟลเดอร์ของคุณให้คัดลอกไปยัง/usr/share/nonsecrets/home/หรือตำแหน่งที่คล้ายกัน (ไม่เข้ารหัส) ได้

เอาล่ะการเข้ารหัสดิสก์เต็มรูปแบบคืออะไร?

นั่น ... จริง ๆ แล้วค่อนข้างดี อย่างไรก็ตามมันยังไม่สมบูรณ์แบบ! ฉันสามารถเล่นCold Boot Attack ได้ตลอดเวลาโดยใช้ลมอัดที่เชื่อถือได้ หรือฉันเพียงแค่เสียบฮาร์ดแวร์คีย์ล็อกเกอร์เข้ากับคอมพิวเตอร์ของคุณ เห็นได้ชัดว่าง่ายกว่าอีกอันหนึ่ง แต่วิธีการไม่สำคัญ

ในที่กว้างใหญ่ส่วนใหญ่ของกรณีนี้เป็นสถานที่ที่ดีหยุด อาจจับคู่กับ TPM (อธิบายด้านล่าง) และคุณเป็นทอง หากคุณไม่ได้โกรธเอเจนซี่ที่มีตัวอักษรสามตัวหรือแฮ็กเกอร์ที่มีแรงบันดาลใจมากๆ ก็ไม่มีใครที่จะต้องผ่านความพยายามที่ผ่านขั้นตอนนี้

แน่นอนฉันยังสามารถให้คุณติดตั้งมัลแวร์ / แบ็คดอร์บางตัวได้โดยเสนอ PPA หรือสิ่งที่คล้ายกัน แต่สิ่งนี้ได้รับความเชื่อถือจากผู้ใช้เป็นอย่างมาก

ดังนั้น ... iPhone มีความปลอดภัยอย่างไร แม้จะมีการเข้าถึงทางกายภาพ แต่ก็มีอะไรที่คุณทำได้ไม่มาก

ก็ใช่และไม่ใช่ ฉันหมายถึงถ้าฉันมีแรงบันดาลใจมากพอฉันสามารถอ่านชิปแฟลชและรับทุกสิ่งที่ฉันต้องการ แต่ iPhones นั้นแตกต่างกันอย่างมากเนื่องจากเป็นแพลตฟอร์มที่ถูกล็อคอย่างสมบูรณ์ แต่ในขณะเดียวกันคุณเสียสละการใช้งานและความสามารถในการกู้คืนจากความล้มเหลวที่ร้ายแรง ด้วง (ยกเว้นเมื่อออกแบบมาเป็นพิเศษ) ไม่ได้หมายถึงการเป็นโซ่ในระบบรักษาความปลอดภัย ในความเป็นจริงแล้วระบบลีนุกซ์ส่วนใหญ่มีเครือข่ายความปลอดภัยของพวกเขาเริ่มโพสต์บูต, ดังนั้นหลังจากที่ GRUB ทำสิ่งนั้นเสร็จแล้ว.

นอกจากนี้ iPhone ยังมีการบังคับใช้ลายเซ็นเข้ารหัส (ดังที่อธิบายไว้ด้านล่าง) ซึ่งทำให้มัลแวร์แอบเข้ามาในโทรศัพท์ของคุณยากมากผ่านเส้นทางที่ถูกกฎหมาย

แต่สิ่งที่เกี่ยวกับ TPM / SmartCards / [แทรกเทคโนโลยี crypto ที่นี่]?

ทีนี้คุณกำลังจับคู่ความปลอดภัยทางกายภาพเข้ากับสมการมันจะซับซ้อนขึ้น แต่นี่ไม่ใช่วิธีการแก้ปัญหาเพราะ TPM ค่อนข้างอ่อนแอและการเข้ารหัสทั้งหมดไม่เกิดขึ้นบนชิป หาก TPM ของคุณแข็งแรงพอที่จะทำการเข้ารหัสบนชิปเอง (ฮาร์ดไดรฟ์ที่แฟนซีมากมีบางอย่างเช่นนี้) กุญแจจะไม่ถูกเปิดเผยและสิ่งต่าง ๆ เช่นการโจมตีจากการบูตด้วยความเย็นเป็นไปไม่ได้ อย่างไรก็ตามคีย์ (หรือข้อมูลดิบ) อาจยังคงปรากฏอยู่ในบัสของระบบซึ่งหมายความว่าสามารถถูกดักจับได้

ถึงกระนั้นคีย์ล็อกเกอร์ฮาร์ดแวร์ของฉันยังสามารถรับรหัสผ่านของคุณได้และฉันสามารถโหลดมัลแวร์บางตัวลงในเครื่องของคุณได้อย่างไม่น่าเชื่อเพราะ Firefox ที่ฉันกล่าวถึงก่อนหน้านี้ ทั้งหมดที่ฉันต้องการคือให้คุณออกจากบ้าน / คอมพิวเตอร์ประมาณหนึ่งชั่วโมง

ทีนี้ถ้าคุณนำ TPM / สมาร์ทการ์ดของคุณ / อะไรก็ตามกับคุณและการเข้ารหัสทั้งหมดทำบนชิป (หมายความว่ากุญแจของคุณไม่ได้เก็บไว้ใน RAM เลย) มันก็เป็นไปไม่ได้เลยที่ฉันจะเข้าไป ทั้งหมดยกเว้นว่าคุณ (ผู้ใช้) เลื่อนขึ้นและลืมบางสิ่งบางอย่าง นั่นคือเว้นแต่ฉันจะหาวิธีอ่านคีย์ (ไม่ได้เข้ารหัส) จากบัสระบบ

แต่ถ้าฉันมีการบังคับใช้รูปแบบการเข้ารหัส / ลายเซ็นดิจิทัลในโปรแกรมทั้งหมดของฉันเพื่อให้แน่ใจว่าถูกต้อง

แสดงให้เห็นว่าโดย บริษัท มาร์ทโฟนต่างๆนี้เป็นมากวิธีที่ดีในการจัดการกับการรักษาความปลอดภัย ตอนนี้คุณได้ลบล้างความสามารถของฉันในการฉีดโค้ดบางอย่างลงบนเครื่องของคุณเพื่อทำสิ่งชั่วร้ายซึ่งเป็นข้อดี อย่างมีประสิทธิภาพคุณได้ปิดการใช้งานความสามารถของฉันในการรักษาการเข้าถึงเครื่องของคุณจากระยะไกลซึ่งเป็นข้อดีอย่างมาก

อย่างไรก็ตามนี่ยังไม่ใช่วิธีที่สมบูรณ์แบบ! การบังคับใช้ลายเซ็นดิจิทัลจะไม่หยุดการทำงานของ keylogger สำหรับฮาร์ดแวร์ นอกจากนี้ยังต้องปราศจากข้อผิดพลาดโดยสมบูรณ์ซึ่งหมายความว่าไม่มีวิธีที่ฉันสามารถหาช่องโหว่ที่อนุญาตให้ฉันโหลดใบรับรองของตัวเองลงในที่เก็บใบรับรองของเครื่องของคุณ นอกจากนี้หมายถึงการปฏิบัติการในระบบของคุณทุกความต้องการที่จะลงนาม ถ้าคุณไม่ต้องการทำสิ่งเหล่านี้ด้วยตัวเองมันจะยากมากที่จะหาแพ็คเกจ Apt และสิ่งที่มีลายเซ็นดิจิทัลในทุกสิ่ง ในหลอดเลือดดำที่คล้ายกันนี้บล็อกการใช้งานที่ถูกกฎหมายสำหรับไฟล์ปฏิบัติการที่ไม่ได้ลงนามคือการกู้คืน ถ้าคุณทำสิ่งที่สำคัญผิดไปและคุณไม่มี (ลงชื่อ) ที่สามารถปฏิบัติการได้เพื่อแก้ไขมัน มีระบบของคุณไปด้วย

ไม่ว่าจะด้วยวิธีใดความพยายามในการทำเช่นนี้บนลีนุกซ์นั้นเป็นเพียงการละทิ้ง แต่ไม่สามารถใช้ได้กับเมล็ดใหม่อีกต่อไปดังนั้นคุณต้องสร้างด้วยตัวเอง

ดังนั้นมันเป็นไปไม่ได้ที่จะกันคุณออกจากคอมพิวเตอร์ของฉัน?

มีประสิทธิภาพใช่ขอโทษ หากฉันมีการเข้าถึงทางกายภาพและมีแรงจูงใจเพียงพอก็เป็นไปได้เสมอที่จะเข้าสู่ระบบ ไม่มีข้อยกเว้น.

แต่ในความเป็นจริงแล้วคนชั่วร้ายส่วนใหญ่จะไม่พยายามที่จะไปให้ไกลเพื่อถ่ายรูปแมว โดยทั่วไปแล้วการเข้ารหัสดิสก์เต็มรูปแบบ (หรือแม้แต่เรียกใช้ Linux!) ก็เพียงพอที่จะป้องกันไม่ให้ kiddies สคริปต์ส่วนใหญ่ไม่สามารถมีชื่อเสียงในสองวินาที

TL; DR: อย่าให้คนที่คุณไม่ไว้วางใจใกล้กับคอมพิวเตอร์ของคุณ นั่นเป็นเรื่องที่ดีพอ

หากคุณต้องการมันผูกลงใช้รหัสผ่าน จากลิงค์:

หมายเหตุการป้องกันรหัสผ่าน GRUB 2

ด้วง 2 สามารถสร้างข้อกำหนดรหัสผ่านบน:

• เมนูทั้งหมด
• เมนูเฉพาะ
• สำหรับผู้ใช้ที่เฉพาะเจาะจง: ตัวอย่างเช่นผู้ใช้ "Jane" สามารถเข้าถึง Ubuntu แต่ไม่ใช่โหมดการกู้คืนของ Windows ซึ่งสามารถเข้าถึงได้โดย "John" superuser เท่านั้น

• ผู้ดูแลระบบต้องเปิดใช้งานการป้องกันด้วยรหัสผ่านด้วยตนเองโดยแก้ไขไฟล์ระบบ GRUB 2

• ควรระบุผู้ใช้และรหัสผ่านใน/etc/grub.d/00_headerไฟล์สคริปต์หรือไฟล์ GRUB 2 อื่น

• หากไม่ต้องการการป้องกันระดับสากลของเมนูทั้งหมดรายการที่ระบุจะต้องระบุ:

  • ด้วยตนเองโดยการแก้ไข/etc/grub.d/สคริปต์Grub 2 เช่น10_linuxและ30_os-prober

  • ด้วยตนเองโดยการแก้ไขไฟล์กำหนดเองที่สร้างโดยผู้ใช้

  • วิธีใดวิธีหนึ่งข้างต้นทำให้ GRUB 2 สามารถเพิ่มความต้องการรหัสผ่านโดยอัตโนมัติไปยังไฟล์การกำหนดค่า (grub.cfg) เมื่อใดก็ตามที่มีการดำเนินการ update-grub

  • /boot/grub/grub.cfgด้วยตนเองโดยการแก้ไข การแก้ไขไฟล์นี้จะถูกลบออกเมื่อupdate-grubทำงานและการป้องกันด้วยรหัสผ่านจะหายไป

• หากเปิดใช้งานการป้องกันรหัสผ่าน GRUB 2 ในรูปแบบใดชื่อและรหัสผ่านของผู้ใช้ superuser จำเป็นต้องเข้าถึงบรรทัดคำสั่ง GRUB 2 และโหมดแก้ไขเมนู

• ชื่อผู้ใช้และ / หรือรหัสผ่านไม่จำเป็นต้องเหมือนกันกับชื่อ / รหัสผ่านการเข้าสู่ระบบของ Ubuntu
• เว้นแต่จะใช้คุณสมบัติการเข้ารหัสรหัสผ่านของ GRUB 2 รหัสผ่านจะถูกเก็บไว้เป็นข้อความธรรมดาในไฟล์ที่อ่านได้ ดูส่วนการเข้ารหัสรหัสผ่านสำหรับคำแนะนำเกี่ยวกับการใช้คุณสมบัตินี้

โดยค่าเริ่มต้น (!) ในกรณีนี้การใช้งานสำคัญกว่าความปลอดภัย หากคุณไม่สามารถไว้ใจคนที่อยู่รอบตัวคุณให้คุณเก็บเครื่องไว้กับตัวคุณได้ตลอดเวลา ผู้ที่ต้องการความปลอดภัยมากขึ้นมักจะเข้ารหัสระบบทั้งหมดของพวกเขาทำให้ต้องใช้รหัสผ่านที่จำเป็น

การแฮ็คโดยเจตนาของคุณเริ่มต้นด้วยสิ่งนี้:

1. เมื่อเมนู grub2 เปิดขึ้นให้กด 'e' เพื่อแก้ไขตัวเลือกเริ่มต้นของ linux

แต่คุณสามารถป้องกันeตัวเลือกรหัสผ่านได้ตามที่อธิบายไว้ที่นี่: วิธีเพิ่มการป้องกันรหัสผ่าน GRUB ให้กับกระบวนการโหลด OS แทนการแก้ไขตัวเลือกการบูต

คุณสามารถใช้ขั้นตอนพิเศษในการเข้ารหัสรหัสผ่านด้วงตามที่กล่าวไว้ในลิงค์ แน่นอนด้วยประชากร 3% (เดายาก) โดยใช้ Linux / Ubuntu ที่บ้านเป็นความคิดที่ดีสำหรับผู้ดูแลระบบเพื่อป้องกันการeทำงานกับระบบการผลิตในที่ทำงาน ฉันคิดว่าถ้าอูบุนตูใช้ในที่ทำงานแล้ว 30 ถึง 40% ก็จะใช้ที่บ้านด้วยและบางที 10% ของคนเหล่านั้นจะเรียนรู้วิธีการทำeระบบที่บ้านของพวกเขา

ขอบคุณสำหรับคำถามที่พวกเขาเพิ่งเรียนรู้เพิ่มเติม ด้วยลิงก์ด้านบนผู้ดูแลระบบมีงานอื่นในรายการสิ่งที่ต้องทำเพื่อปกป้องสภาพแวดล้อมการผลิต

เพื่อให้ด้วงมีความปลอดภัยคุณจำเป็นต้องปกป้องการเข้าถึง สิ่งนี้สามารถทำได้ง่ายๆด้วยรหัสผ่านฮาร์ดดิสก์และฉันกำลังพูดถึงที่นี่เกี่ยวกับความปลอดภัยของดิสก์ที่เก็บไว้ในเฟิร์มแวร์ของดิสก์เอง ไม่สามารถอ่านหรือเขียนดิสก์ได้ ดังนั้นไม่เพียง แต่ด้วงจะไม่สามารถเข้าถึงได้โดยไม่มีรหัสผ่านข้อมูลของคุณก็เช่นกัน

เมื่อรหัสผ่านถูกเก็บไว้ในดิสก์การย้ายไปไว้ในระบบอื่นจะไม่ช่วยแฮ็กเกอร์

มีซอฟต์แวร์อยู่รอบตัวซึ่งสามารถลบรหัสผ่านออกจากดิสก์ของผู้ผลิตบางรายได้ ดังนั้นข้อมูลของคุณยังปลอดภัย