Коли я завантажую систему в режим відновлення з меню GRUB, я можу ввійти до всього потужного root, не вводячи жодного пароля, таким чином, небезпечно.

Як я можу убезпечити це та забезпечити запит пароля щоразу, коли я намагаюся отримати доступ до root у режимі відновлення?

На форумах Ubuntu є публікація про захист записів паролем , в основному для того, щоб меню відновлення вимагало, щоб ви увійшли як супермен із паролем 1234, вам потрібно відредагувати кілька дуже волохатих файлів конфігурацій / скриптів:

Додати в /etc/grub.d/00_header

cat << EOF
set superusers="superman"
password superman 1234
password bill 5678
EOF 

Змінити /etc/grub.d/10_linux

Від:

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

До:

if ${recovery} ; then
   printf "menuentry '${title}' --users superman ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi 

Вдосконалювати захист дуже важко

Інші речі, які вам потрібно зробити, це захистити свій біографічний засіб, відключити завантаження з іншого, крім основного жорсткого диска, і зашифрувати свій кореневий розділ та змонтувати будь-який інший розділ як noexec. Це все ще залишає безліч векторів.

Єдиний надійний спосіб захисту системи від зловмисника, який має фізичний доступ до машини, - це шифрування повним диском.

Ви не можете захистити свої дані, якщо вони не зашифровані, але ви можете захистити rootкористувача. Коли хтось спробує отримати доступ до вашого диска через recovery mode, йому / йому потрібен пароль.

встановити пароль root

sudo passwd root #set new password for user named root

тестовий доступ до кореня

su