Kiedy uruchamiam system w trybie odzyskiwania z menu GRUB, mogę dostać się do wszystkich potężnych użytkowników root bez wprowadzania hasła, co jest niepewne.

Jak mogę to zabezpieczyć i upewnić się, że hasło jest zadawane przy każdej próbie dostępu do roota w trybie odzyskiwania?

Na forach Ubuntu znajduje się post dotyczący ochrony wpisów hasłem. Zasadniczo, aby menu przywracania wymagało zalogowania się jako superman przy użyciu hasła 1234 , musisz edytować niektóre bardzo owłosione pliki konfiguracji / skryptu:

Dodaj do /etc/grub.d/00_header

cat << EOF
set superusers="superman"
password superman 1234
password bill 5678
EOF 

Zmień /etc/grub.d/10_linux

Od:

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

Do:

if ${recovery} ; then
   printf "menuentry '${title}' --users superman ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi 

Doskonalenie ochrony jest niezwykle trudne

Inne rzeczy, które musisz zrobić, to zabezpieczyć hasłem swoje BIOS-y, wyłączyć uruchamianie z niczego innego niż główny dysk twardy oraz zaszyfrować partycję root i zamontować dowolną inną partycję jako noexec. To wciąż pozostawia wiele wektorów.

Jedynym niezawodnym sposobem ochrony systemu przed atakującym mającym fizyczny dostęp do komputera jest szyfrowanie na pełnym dysku.

Nie możesz chronić swoich danych, jeśli nie są zaszyfrowane, ale możesz chronić rootużytkownika. Gdy ktoś próbuje uzyskać dostęp do dysku za pośrednictwem recovery mode, potrzebuje hasła.

ustaw hasło roota

sudo passwd root #set new password for user named root

przetestuj dostęp do roota

su