Как я могу запретить кому-либо сбрасывать мой пароль с Live CD?

55

Недавно один из моих друзей пришел ко мне, через 15 минут он взломал мою учетную запись с помощью Live CD и сбросил пароль передо мной. Я был сбит с толку, увидев такую ​​вещь. Пожалуйста, помогите мне предотвратить такие будущие попытки использования Live CD.

security  password  live-cd 
кодировщик
источник
10
Отключите дисковод оптических дисков.
Анонимно
7
Возможно, вам будет интересно узнать, что можно сделать то же самое в Windows; Когда я работал в IT в большом университете, у меня был компакт-диск, чтобы я мог сделать это при необходимости. Ни один компьютер не является действительно безопасным, если можно загружаться с другого носителя.
Келли
4
Полым голосом прошептал «полное шифрование диска».
Джошуа

Ответы:

56

Быстрый и простой способ сделать это - отключить загрузку с компакт-дисков и USB-накопителей в BIOS и установить пароль BIOS.

Согласно этой вики-странице :

Размещение паролей или блокировка пунктов меню (в файлах конфигурации Grub) не мешает пользователю загружаться вручную с помощью команд, введенных в командной строке grub.

Однако ничто не мешает кому-то просто украсть ваш жесткий диск и установить его на другую машину, или сбросить настройки BIOS, удалив батарею, или одним из других методов, которые злоумышленник может использовать, когда у него есть физический доступ к вашей машине.

Лучшим способом было бы зашифровать ваш диск, вы можете сделать это, зашифровав свой домашний каталог, или зашифровав весь диск:

Хорхе Кастро
источник
2
Этого недостаточно - необходимо также отключить режим восстановления и заблокировать GRUB2, чтобы параметры загрузки не могли быть указаны (или не могут быть указаны без ввода пароля). После того, как все это сделано, он не только не мешает кому-то украсть жесткий диск, но и тот, кто открывает компьютер, может отключить пароль BIOS, а тот, кто не хочет открывать компьютер, может предположительно просто украсть весь компьютер.
Элия ​​Каган
но приятель, что если кто-то просто откроет мой жесткий диск / etc / shadow, сменит мой зашифрованный пароль, а затем перезагрузится, зашифрованный домашний каталог также откроется для него
кодер
10
@shariq Если кто-то изменяет ваш пароль только в / etc / shadow, зашифрованный домашний каталог не открывается, когда кто-то входит в систему с новым паролем. В этом случае зашифрованный домашний каталог должен быть смонтирован вручную со старым паролем, и, если никто не знает старый пароль, его придется взломать, что будет трудно и в некоторой степени может дать сбой. Когда вы шифруете свой домашний каталог, изменение пароля путем редактирования / etc / shadow не меняет пароль, которым зашифрованы ваши данные.
Элия ​​Каган
@EliahKagan Я не могу получить какую-либо информацию о том, как это сделать, поэтому я процитировал вики-страницу, если вы найдете больше информации, не стесняйтесь редактировать ее в своем ответе.
Хорхе Кастро
6
+1 Самое первое, что пришло мне в голову - это зашифровать домашний каталог.
Натан Осман
50

Встаньте рядом с компьютером, держа в руках бейсбольную биту. Сильно обыграй любого, кто приблизится.

Или запри это.

Если ваш компьютер физически доступен, это небезопасно.

mdebusk
источник
18
Как это защищает нас от людей с большими собаками и автоматами? : D
Jrg
3
Защищайте компьютер с собаками и используйте камеры видеонаблюдения для защиты собак и пушек в соседней комнате
Кенгуру
3
+1 за серьезность этого ответа. Вы действительно хорошо поработали здесь и заслуживаете голоса.
RolandiXor
1
+1 за отличный ответ и комментарии .. Я просто не мог заставить себя смеяться громко !! : D :) @jrg был в своих лучших проявлениях .. ха-ха-ха .. :) Приятно видеть этот тип вещи в Askubuntu.
Саурав Кумар
26

Сначала предупреждение ...

Процедура защиты паролем grub2 может быть довольно сложной, и если вы ошибетесь, есть возможность оставить себя с не загружаемой системой. Поэтому всегда сначала делайте полную резервную копию вашего жесткого диска. Я рекомендую использовать Clonezilla - также можно использовать другой инструмент резервного копирования, например PartImage .

Если вы хотите попрактиковаться в этом - используйте гостевую виртуальную машину, с которой вы можете откатить снимок.

Давайте начнем

Описанная ниже процедура защищает от несанкционированного изменения настроек Grub во время загрузки - то есть, нажав eна редактирование позволяет изменять параметры загрузки. Например, вы можете принудительно загрузить систему в однопользовательском режиме и получить доступ к своему жесткому диску.

Эту процедуру следует использовать в сочетании с шифрованием жесткого диска и опцией безопасной загрузки BIOS, чтобы предотвратить загрузку с live cd, как описано в соответствующем ответе на этот вопрос.

почти все нижеприведенное можно скопировать и вставить по одной строке за раз.

Сначала давайте сделаем резервную копию файлов grub, которые мы будем редактировать - откройте сеанс терминала:

sudo mkdir /etc/grub.d_backup
sudo cp /etc/grub.d/* /etc/grub.d_backup

Давайте создадим имя пользователя для grub:

gksudo gedit /etc/grub.d/00_header &

Прокрутите вниз, добавьте новую пустую строку, скопируйте и вставьте следующее:

cat << EOF
set superusers="myusername"
password myusername xxxx
password recovery 1234
EOF

В этом примере были созданы два имени пользователя: myusername и recovery

Далее - вернуться к терминалу (не закрывать gedit):

Только пользователи Natty и Oneiric

Создайте зашифрованный пароль, набрав

grub-mkpasswd-pbkdf2

Введите свой пароль, который вы будете использовать дважды при запросе

Your PBKDF2 is grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

Немного нас интересует начало grub.pbkdf2...и конецBBE2646

Выделите этот раздел с помощью мыши, щелкните правой кнопкой мыши и скопируйте это.

Вернитесь к своему geditприложению - выделите текст «xxxx» и замените его тем, что вы скопировали (щелкните правой кнопкой мыши и вставьте)

то есть линия должна выглядеть

password myusername grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

все версии Buntu (Lucid и выше)

Сохраните и закройте файл.

Наконец, вам нужно защитить паролем каждый пункт меню grub (все файлы, в которых есть строка, начинающаяся с входа в меню ):

cd /etc/grub.d
sudo sed -i -e '/^menuentry /s/ {/ --users myusername {/' *

Это добавит новую запись --users myusernameв каждую строку.

Запустите update-grub, чтобы восстановить ваш grub.

sudo update-grub

Когда вы пытаетесь отредактировать запись grub, она запросит ваше имя пользователя, т.е. myusername и пароль, который вы использовали.

Перезагрузите и проверьте, что имя пользователя и пароль применяются при редактировании всех записей grub.

NB не забудьте нажать SHIFTво время загрузки, чтобы отобразить ваш grub.

Защита паролем в режиме восстановления

Все вышеперечисленное можно легко обойти, используя режим восстановления.

К счастью, вы также можете заставить имя пользователя и пароль использовать пункт меню режима восстановления. В первой части этого ответа мы создаем дополнительное имя пользователя с именем recovery с паролем 1234 . Чтобы использовать это имя пользователя, нам нужно отредактировать следующий файл:

gksudo gedit /etc/grub.d/10_linux

изменить строку с:

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

Для того, чтобы:

if ${recovery} ; then
   printf "menuentry '${title}' --users recovery ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi

При использовании восстановления используйте имя пользователя восстановления и пароль 1234

Запустите, sudo update-grubчтобы восстановить ваш файл Grub

Перезагрузитесь и проверьте, что вас просят ввести имя пользователя и пароль при попытке загрузки в режиме восстановления.

Дополнительная информация - http://ubuntuforums.org/showthread.php?t=1369019

fossfreedom
источник
Здравствуй! Я следовал вашему уроку, и он работает ... за исключением случаев, когда вы выбираете другие версии, где вы можете использовать клавишу "E" без пароля
gsedej
У Raring нет линии printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"для восстановления, но есть аналог в функции if. Не могли бы вы посоветовать, как его отредактировать?
Папукайя
5

Важно помнить, что если кто-то имеет физический доступ к вашей машине, он всегда сможет что-то сделать с вашим компьютером. Такие вещи, как блокировка корпуса вашего ПК и пароли BIOS, не помешают определенному человеку захватить ваш жесткий диск и данные в любом случае.

надувные шарики
источник
3
В некоторых случаях эти вещи не позволят даже определенному человеку использовать ваш жесткий диск и данные. Например, если это интернет-киоск в интернет-кафе с хорошей физической безопасностью (камеры видеонаблюдения, охранники, внимательный владелец / клерки), решительный человек все равно может попытаться физически украсть машину или ее жесткий диск, но они, скорее всего, провал.
Элия ​​Каган
4
В качестве отдельного пункта: если вы украдете жесткий диск от машины, данные которой зашифрованы, то вам придется взломать шифрование для доступа к данным, и с паролями хорошего качества это может быть непомерно сложно ... или, возможно, даже невозможно.
Элия ​​Каган
-2

Вы можете сделать так, чтобы даже в случае сброса «перезагрузщик» не мог видеть данные.

Для этого просто зашифруйте /home.

Если вы хотите сделать так, чтобы сброс был невозможен, необходимо что-то удалить, что отвечает за смену пароля.

Kangarooo
источник
Доступ к вашим личным файлам - не единственная проблема. Если, скажем, у вашей учетной записи есть sudoпривилегии, им не нужно /homeнаносить значительный ущерб.
Кевин
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.