Як я можу запобігти перезавантаженню мого пароля на Live CD?

55

Нещодавно один з моїх друзів зайшов до мене, протягом 15 хвилин він зламав мій обліковий запис за допомогою живого компакт-диска та скинув пароль перед собою. Мені спантеличено таке бачити. Наведіть мене, щоб запобігти такій майбутній спробі використання Live CD.

security  password  live-cd 
кодер
джерело
10
Відключіть накопичувач оптичного диска.
Анонім
7
Можливо, вас зацікавить те, що ви можете зробити те ж саме в Windows; коли я працював в ІТ у великому університеті, мав при собі компакт-диск, який дозволив мені зробити це за потреби. Жоден комп’ютер не є надійним, якщо можна завантажуватися з інших носіїв інформації.
Келлі
4
Пологий голос прошепотів "повне шифрування диска".
Джошуа

Відповіді:

56

Швидкий та простий спосіб зробити це - відключити завантаження з компакт-дисків та USB-накопичувачів у вашому BIOS та встановити пароль BIOS.

Відповідно до цієї сторінки вікі :

Розміщення паролів або блокування елементів меню (у файлах конфігурації Grub) не заважає користувачеві завантажуватися вручну за допомогою команд, введених у командному рядку grub.

Однак ніщо не заважає комусь просто вкрасти ваш жорсткий диск і встановити його на іншу машину або скинути BIOS шляхом вилучення акумулятора або одного з інших методів, якими зловмисник може скористатися, коли він має фізичний доступ до вашої машини.

Кращим способом було б зашифрувати диск, ви можете це зробити, зашифрувавши домашній каталог, або зашифрувавши весь диск:

Хорхе Кастро
джерело
2
Цього недостатньо - потрібно також відключити режим відновлення та заблокувати GRUB2, щоб параметри завантаження не могли бути визначені (або неможливо вказати без введення пароля). Після того, як все це зроблено, це не тільки не зупиняє когось красти жорсткий диск, але хтось, хто відкриває комп'ютер, може відключити пароль BIOS, а той, хто не хоче відкривати комп'ютер, може, мабуть, просто викрасти весь комп'ютер.
Ілля Каган
але приятель, що якщо хтось просто взяв мій жорсткий диск відкритий / etc / shadow змінив мій зашифрований пароль, а потім перезавантажив зашифрований домашній каталог також відкриється для нього
coder
10
@shariq Якщо хтось змінить ваш пароль просто в / etc / shadow, зашифрований домашній каталог не відкриється, коли хтось увійде з новим паролем. У такому випадку зашифрований домашній каталог повинен був би бути встановлений вручну зі старим паролем, і якби ніхто не знав старого пароля, його потрібно було б зламати, що було б складно і дещо може вийти з ладу. Коли ви шифруєте домашній каталог, зміна пароля шляхом редагування / etc / shadow не змінює пароль, за допомогою якого ваші дані шифруються.
Ілля Каган
@EliahKagan Я не можу ніякої інформації про те, як це зробити, тому я процитував сторінку вікі, якщо ви знайдете більше інформації, не соромтесь відредагувати її у своїй відповіді.
Хорхе Кастро
6
+1 Найперше, що мені прийшло в голову, було зашифрувати домашній каталог.
Натан Осман
50

Встаньте поруч із комп’ютером, тримаючи бит-трійник. Жорстко бити кожного, хто наблизиться.

Або заблокувати.

Якщо ваш комп'ютер фізично доступний, він небезпечний.

mdebusk
джерело
18
Як це захищає нас від людей з великими собаками та кулеметами? : D
jrg
3
захистити комп’ютер з собаками та використовувати камери безпеки для захисту собак та рухів у сусідній кімнаті
Кенгуру
3
+1 за серйозність цієї відповіді. Ви дійсно добре зробили тут справу і заслужили голоси.
RolandiXor
1
+1 за чудову відповідь та коментарі. Я просто не міг зупинити себе, щоб голосно сміятися !! : D :) @jrg був у кращому випадку ... ха-ха-ха .. :) Приємно бачити цю штуку в askubuntu.
Саурав Кумар
26

Спочатку попередження ...

Процедура захисту паролем grub2 може бути досить складною, і якщо ви помилитесь, є можливість залишити себе системою, що не завантажується. Таким чином, завжди спершу зробіть резервну копію зображення вашого жорсткого диска. Моя рекомендація - використовувати Clonezilla - ще один інструмент резервного копіювання, такий як PartImage .

Якщо ви хочете практикувати це - використовуйте гість віртуальної машини, на якому ви зможете відкатати знімок.

Давайте почнемо

Наведена нижче процедура захищає від несанкціонованого редагування налаштувань Grub під час завантаження - тобто натискання eдля редагування дозволяє змінювати параметри завантаження. Наприклад, ви можете змусити завантажуватися в режимі одного користувача і таким чином мати доступ до вашого жорсткого диска.

Цю процедуру слід використовувати в поєднанні з шифруванням на жорсткому диску та захищеним варіантом завантаження bios, щоб запобігти завантаженню з живого CD, як описано у відповідному відповіді на це питання.

майже все, що нижче, можна скопіювати та вставити по одному рядку.

Спочатку давайте резервну копію файлів grub, які ми будемо редагувати - відкрийте термінальний сеанс:

sudo mkdir /etc/grub.d_backup
sudo cp /etc/grub.d/* /etc/grub.d_backup

Дозволяє створити ім’я користувача для grub:

gksudo gedit /etc/grub.d/00_header &

Прокрутіть донизу, додайте новий порожній рядок і скопіюйте та вставте наступне:

cat << EOF
set superusers="myusername"
password myusername xxxx
password recovery 1234
EOF

У цьому прикладі були створені два імена користувачів: MyUserName і відновлення

Далі - поверніться до терміналу (не закривайте gedit):

Тільки для користувачів Natty та Oneiric

Створіть зашифрований пароль, ввівши

grub-mkpasswd-pbkdf2

Введіть свій пароль, який ви будете використовувати двічі при появі запиту

Your PBKDF2 is grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

Біт, який нас цікавить, починається grub.pbkdf2...і закінчуєтьсяBBE2646

Виділіть цей розділ за допомогою миші, клацніть правою кнопкою миші та скопіюйте це.

Поверніться до своєї geditпрограми - виділіть текст "xxxx" і замініть це тим, що ви скопіювали (клацніть правою кнопкою миші та вставте)

тобто лінія повинна мати вигляд

password myusername grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

всі 'версії buntu (легкі та новіші)

Збережіть і закрийте файл.

Нарешті, вам потрібно захистити паролем кожен запис меню меню (всі файли, у яких є рядок, що починається з меню )

cd /etc/grub.d
sudo sed -i -e '/^menuentry /s/ {/ --users myusername {/' *

Це додасть новий запис --users myusernameдо кожного рядка.

Запустіть update-grub, щоб відновити ваш grub

sudo update-grub

При спробі змінити запис потайний запросить ваше ім'я користувача , тобто MyUserName і пароль , який ви використовували.

Перезавантажте та перевіріть, чи застосовуються ім’я користувача та пароль при редагуванні всіх записів grub.

Зверніть увагу: натисніть SHIFTпід час завантаження, щоб відобразити свою грубку.

Режим відновлення, захищаючи паролем

Все вищезазначене можна легко вирішити, використовуючи режим відновлення.

На щастя, ви також можете змусити ім'я користувача та пароль використовувати запис меню в режимі відновлення. У першій частині цієї відповіді ми створюємо додаткове ім'я користувача, яке називається відновленням з паролем 1234 . Для використання цього імені користувача нам потрібно відредагувати такий файл:

gksudo gedit /etc/grub.d/10_linux

змінити рядок з:

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

До:

if ${recovery} ; then
   printf "menuentry '${title}' --users recovery ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi

При використанні відновлення використовуйте відновлення імені користувача та пароль 1234

Запустіть, sudo update-grubщоб відновити файл grub

Перезавантажте і протестуйте, що вас вимагають як ім’я користувача та пароль при спробі завантаження в режим відновлення.

Більше інформації - http://ubuntuforums.org/showthread.php?t=1369019

fossfreedom
джерело
Привіт! Я стежив за вашим підручником, і він працює ... за винятком випадків, коли ви вибираєте інші версії, де ви можете використовувати клавішу "E" без пароля
gsedej
Raring не має рядка printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"для відновлення, але аналогічний всередині функції if. Не могли б ви порадити, як це відредагувати?
papukaija
5

Важливо пам’ятати, що якщо хтось має фізичний доступ до вашої машини, він завжди зможе робити речі на вашому ПК. Такі речі, як блокування корпусу вашого ПК та паролів BIOS, жодним чином не заважають певній людині брати ваш жорсткий диск та дані.

повітряні кулі
джерело
3
У деяких випадках, ці речі будуть зупинити навіть певна людина від прийняття жорсткого диска і даних шляху. Наприклад, якщо це машина з кіоском в Інтернет-кафе з хорошою фізичною захищеністю (камери безпеки, охоронці, пильний власник / діловоди), рішуча людина все ж може спробувати фізично викрасти машину або її жорсткий диск, але вони, ймовірно, невдача.
Елія Каган
4
Як окремий момент, якщо ви викрадете жорсткий диск з машини, дані якої зашифровані, то вам доведеться зламати шифрування для доступу до даних, і з хорошими паролями якості, це може бути надзвичайно важким ... або, можливо, навіть неможливо.
Елія Каган
-2

Ви можете зробити так, що навіть у разі скидання, "перезавантажувач" не зможе бачити дані.

Для цього просто зашифруйте /home.

Якщо ви хочете зробити так, щоб перезавантажити неможливо, щось потрібно видалити, що відповідає за зміну пароля.

Кенгуру
джерело
Доступ до ваших особистих файлів - не єдина проблема. Якщо, скажімо, ваш обліковий запис має sudoпривілеї, їм не потрібно /homeробити великої шкоди.
Кевін
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.