Pomieszałem swój system wcześniej, przywitałem się z czarnym ekranem podczas uruchamiania systemu Ubuntu. Kiedy uruchomiłem laptopa, wybrałem opcję odzyskiwania z menu gruba i wybrałem opcję awaryjną na terminalu głównym . Widziałem, że jestem w stanie użyć polecenia add user, dzięki czemu prawdopodobnie mógłbym użyć do stworzenia uprzywilejowanego użytkownika na moim komputerze.
Czy to nie jest problem bezpieczeństwa?
Można było ukraść mój laptop i przy starcie wybrać odzyskiwanie i dodać innego użytkownika, wtedy mam fudę. W tym moje dane.
Pomyśl o tym, nawet jeśli w jakiś sposób usuniesz ten wpis, można uruchomić komputer z płyty CD na żywo, chroot
uruchomić i uruchomić, a następnie dodać innego użytkownika z odpowiednimi uprawnieniami, które pozwalają mu zobaczyć wszystkie moje dane.
Jeśli ustawię BIOS na uruchamianie tylko z dysku HD, bez USB, CD / DVD, uruchamiania sieciowego i ustawię hasło BIOS, nadal nie będzie to miało znaczenia, ponieważ nadal będziesz mieć ten wpis uruchamiania odzyskiwania systemu grub.
Jestem całkiem pewien, że ktoś z Chin, Rosji nie może zhakować mojego Ubuntu Trusty Tahr z sieci, ponieważ jest to bezpieczne. Ale jeśli ktoś ma fizyczny dostęp do mojej - waszej - maszyny, to właśnie dlatego zadaję to pytanie. Jak mogę zabezpieczyć swój komputer, aby hakowanie poprzez fizyczny dostęp nie było możliwe?
Zgłoszenie błędu:
źródło
fred:x:0:0:fred,,,:/home/fred:/bin/bash
i teraz, jeśli zaloguję się jako fred i uruchomięwhoami
, otrzymamroot
adduser
itp., Zwykle nie pozwalają na to, ale tylko edycja/etc/passwd
działa. Bycie hakerem oznacza ignorowanie tego, co powinieneś zrobić;)Odpowiedzi:
Domyślam się, że tylko pełne szyfrowanie dysku przy użyciu silnego algorytmu i, co najważniejsze, dobre hasło jest jedyną rzeczą, która może zabezpieczyć twoje lokalnie przechowywane dane. Zapewnia to prawdopodobnie 99,99% bezpieczeństwa. Proszę zapoznać się z jednym z wielu przewodników, jak to zrobić.
Poza tym NIE jest możliwe zabezpieczenie komputera przed doświadczonym hakerem z fizycznym dostępem.
Hasła użytkownika / konta:
Łatwo jest utworzyć nowego użytkownika administratora, jeśli uruchomisz się w trybie odzyskiwania, tak jak sam to opisałeś, ponieważ otrzymujesz powłokę główną bez pytania o hasło w ten sposób.
Może to wyglądać na przypadkowy problem z bezpieczeństwem, ale jest przeznaczony dla (kto by pomyślał?) Przypadków odzyskiwania, w których np. Straciłeś hasło administratora lub pomieszałeś
sudo
polecenie lub inne ważne rzeczy.Hasło roota:
Ubuntu nie ustawił domyślnie żadnego hasła użytkownika root. Możesz jednak ustawić jeden i zostaniesz o to poproszony, jeśli uruchomisz system w trybie odzyskiwania. Wydaje się to dość bezpieczne, ale wciąż nie jest to ostatecznie bezpieczne rozwiązanie. Nadal możesz dodać parametr jądra
single init=/bin/bash
poprzez GRUB przed uruchomieniem Ubuntu, który uruchamia go w trybie pojedynczego użytkownika - co w rzeczywistości jest również powłoką root bez hasła.Zabezpieczanie menu GRUB za pomocą hasła:
Możesz zabezpieczyć wpisy menu GRUB, aby były dostępne tylko po uwierzytelnieniu, tzn. Możesz odmówić uruchomienia trybu odzyskiwania bez hasła. Zapobiega to także manipulowaniu parametrami jądra. Aby uzyskać więcej informacji, zobacz witrynę Grub2 / Passwords na help.ubuntu.com . Można to obejść tylko wtedy, gdy uruchamiasz komputer z zewnętrznego nośnika lub podłączasz dysk twardy bezpośrednio do innego komputera.
Wyłącz uruchamianie z zewnętrznego nośnika w
systemie BIOS: Możesz ustawić kolejność uruchamiania i zwykle wykluczać urządzenia z uruchamiania w wielu aktualnych wersjach BIOS / UEFI. Te ustawienia nie są jednak zabezpieczone, ponieważ każdy może wejść do menu ustawień. Tutaj również musisz ustawić hasło, ale ...
Hasła systemu BIOS:
zwykle można również ominąć hasła systemu BIOS. Istnieje kilka metod:
Dzięki Rinzwind za te informacje i link!
Zablokuj obudowę komputera / odmów fizycznego dostępu do płyty głównej i dysku twardego:
nawet jeśli wszystko inne zawiedzie, złodziej danych może nadal otworzyć laptopa / komputera, wyjąć dysk twardy i podłączyć go do własnego komputera. Montaż i uzyskiwanie dostępu do wszystkich niezaszyfrowanych plików jest od tego bułką z masłem. Musisz umieścić go w bezpiecznie zamkniętej obudowie, aby mieć pewność, że nikt nie będzie w stanie otworzyć komputera. Jest to jednak niemożliwe w przypadku laptopów i trudne w przypadku komputerów stacjonarnych. Może możesz pomyśleć o posiadaniu filmu akcji, takiego jak urządzenie samozniszczące, które wysadza w środku jakieś materiały wybuchowe, jeśli ktoś spróbuje go otworzyć? ;-) Ale upewnij się, że nigdy nie będziesz musiał otwierać go sam w celu konserwacji!
Szyfrowanie całego dysku:
wiem, że zaleciłem tę metodę jako bezpieczną, ale nie jest ona również w 100% bezpieczna, jeśli zgubisz laptopa, gdy jest włączony. Istnieje tak zwany „atak zimnego rozruchu”, który umożliwia atakującemu odczytanie kluczy szyfrujących z pamięci RAM po zresetowaniu uruchomionego komputera. To zwalnia system, ale nie spłukuje zawartości pamięci RAM czasu bez zasilania jest wystarczająco krótki.
Dzięki Kos za komentarz na temat tego ataku!
Zacytuję również jego drugi komentarz tutaj:
Powiązane, ale wciąż nie odpowiedziano na pytanie, jak zapobiegać atakom Cold Boot: Jak włączyć Ubuntu (przy użyciu pełnego szyfrowania dysku), aby wywoływać LUKSsupend przed uśpieniem / zawieszeniem w pamięci RAM?
Podsumowując: Obecnie nic tak naprawdę nie chroni twojego laptopa przed użyciem przez kogoś, kto ma fizyczny dostęp i złośliwe zamiary. Możesz w pełni zaszyfrować wszystkie swoje dane tylko wtedy, gdy jesteś wystarczająco paranoikiem, aby zaryzykować utratę wszystkiego przez zapomnienie hasła lub awarię. Szyfrowanie sprawia, że kopie zapasowe są nawet ważniejsze niż są już. Jednak powinny one również zostać zaszyfrowane i umieszczone w bardzo bezpiecznym miejscu.
Lub po prostu nie oddawaj laptopa i mam nadzieję, że go nigdy nie zgubisz. ;-)
Jeśli jednak mniej zależy Ci na swoich danych, a bardziej na sprzęcie, możesz kupić i zainstalować nadawcę GPS w swojej skrzynce, ale dotyczy to tylko prawdziwych ludzi paranoicznych lub agentów federalnych.
źródło
Najbezpieczniejszym laptopem jest ten bez żadnych danych. Możesz skonfigurować własne środowisko chmury prywatnej, a następnie nie przechowywać niczego ważnego lokalnie.
Lub wyjmij dysk twardy i stop go za pomocą termitu. To technicznie odpowiada na pytanie, ale może nie być najbardziej praktyczne, ponieważ nie będziesz już mógł korzystać z laptopa. Ale nie zawsze będą też tacy mglisti hakerzy.
Pomijając te opcje, podwójnie zaszyfruj dysk twardy i aby podłączyć go, należy podłączyć pendrive USB. Pendrive USB zawiera jeden zestaw kluczy deszyfrujących, a BIOS zawiera drugi zestaw - oczywiście chroniony hasłem. Połącz to z procedurą automatycznego niszczenia danych, jeśli napęd USB nie jest podłączony podczas rozruchu / wznawiania po zawieszeniu. Zawsze noś przy sobie napęd USB. Ta kombinacja dotyczy również XKCD # 538 .
źródło
Zaszyfruj dysk. W ten sposób Twój system i Twoje dane będą bezpieczne na wypadek kradzieży laptopa. Inaczej:
Polecam mieć partycję LUKS, w której można skonfigurować LVM. Możesz pozostawić partycję rozruchową niezaszyfrowaną, aby hasło było potrzebne tylko raz. Oznacza to, że twój system może być łatwiej zagrożony, jeśli zostanie sfałszowany (skradziony i oddany tobie, nawet nie zauważając), ale jest to bardzo rzadki przypadek i, chyba że uważasz, że śledzi cię NSA, rząd lub jakiś inny mafia, nie powinieneś się tym martwić.
Twój instalator Ubuntu powinien dać ci możliwość instalacji z LUKS + LVM w bardzo łatwy i zautomatyzowany sposób. Nie przesyłam tu ponownie szczegółów, ponieważ w Internecie jest już mnóstwo dokumentacji. :-)
źródło
/home/yourName
- tak jak powinieneś! - a następnie ułóż ten folder ze sterownikiem szyfrowania na poziomie pliku (takim jak ten, o którym wspominałem w OP i nie będzie ponownie spamować), bardzo realna alternatywa. Nie martwię się, że ludzie zobaczą wszystkie nudne rzeczy/usr
itp./home
(w tym dane osobiste i profesjonalne na innych partycjach), więc łatwiej jest mi zaszyfrować wszystko, ale chyba każdy użytkownik ma swoje własne potrzeby :-). Jednak użycieecryptfs
nie jest najlepszą decyzją pod względem wydajności. Tutaj możesz znaleźć kilka punktów odniesienia . Pamiętaj, aby przeczytać strony2-5
w artykule, aby uzyskać rzeczywiste wyniki (strona1
jest tylko wstępem)./var/log
,/var/www
(źródła), &/tmp
, więc może szyfrowanie całych dysków zacznie wydawać się bardziej rozsądne!/etc
innych katalogach najwyższego poziomu ... Na koniec szyfrowanie całego dysku jest prostym i szybkim rozwiązaniem, które pozwoli ci spać jak dziecko każdej nocy. ^^Warto zwrócić uwagę na kilka rozwiązań sprzętowych.
Po pierwsze, niektóre laptopy, takie jak niektóre laptopy biznesowe Lenovo, są wyposażone w przełącznik wykrywania sabotażu, który wykrywa otwarcie obudowy. W Lenovo funkcję tę należy aktywować w systemie BIOS i ustawić hasło administratora. Jeśli zostanie wykryta sabotaż, laptop (jak sądzę) natychmiast się wyłączy, po uruchomieniu wyświetli ostrzeżenie i będzie wymagał hasła administratora oraz odpowiedniego zasilacza sieciowego. Niektóre czujniki sabotażu również uruchamiają alarm dźwiękowy i można je skonfigurować do wysyłania wiadomości e-mail.
Wykrywanie sabotażu tak naprawdę nie zapobiega sabotażowi (ale może utrudniać kradzież danych z pamięci RAM - a wykrywanie sabotażu może „zablokować” urządzenie, jeśli wykryje coś naprawdę podejrzanego, na przykład próbę wyjęcia baterii CMOS). Główną zaletą jest to, że ktoś nie może potajemnie manipulować sprzętem bez Twojej wiedzy - jeśli skonfigurowałeś silne zabezpieczenia oprogramowania, takie jak pełne szyfrowanie dysku, to tajne manipulowanie sprzętem jest zdecydowanie jednym z pozostałych wektorów ataku.
Innym fizycznym zabezpieczeniem jest to, że niektóre laptopy można zablokować w stacji dokującej. Jeśli stacja dokująca jest bezpiecznie przymocowana do stołu (za pomocą śrub, które będą pod laptopem), a laptop jest trzymany zablokowany w stacji dokującej, gdy nie jest używana, zapewnia dodatkową warstwę ochrony fizycznej. Oczywiście nie powstrzyma to zdecydowanego złodzieja, ale zdecydowanie utrudnia kradzież laptopa z domu lub firmy, a po zablokowaniu jest nadal w pełni użyteczny (i możesz podłączyć urządzenia peryferyjne, ethernet i tak dalej do stacji dokującej).
Oczywiście te cechy fizyczne nie są przydatne do zabezpieczenia laptopa, który ich nie ma. Ale jeśli jesteś świadomy bezpieczeństwa, warto rozważyć je przy zakupie laptopa.
źródło
Dodatkowo do szyfrowania dysku (nie obejdzie się tego): - SELinux i TRESOR. Oba wzmacniają jądro Linuksa i próbują utrudnić atakującym odczytanie rzeczy z pamięci.
Gdy jesteś przy tym: wkraczamy teraz na terytorium nie tylko strachu przed złymi przypadkowymi facetami, którzy chcą informacji o karcie debetowej (nie robią tego), ale często wystarczającej liczby agencji wywiadowczych. W takim przypadku chcesz zrobić więcej:
Istnieje wiele innych rzeczy, które możesz zrobić, ale powinny one dać rozsądną liczbę rzeczy, które trzeba łaskotać.
I nie zapomnij o: xkcd ;-)
źródło
Ponieważ nieco zmieniłeś pytanie, oto moja odpowiedź na zmienioną część:
Odpowiedź: nie możesz
Istnieje wiele zaawansowanych systemów sprzętowych i programowych, takich jak wykrywanie sabotażu , szyfrowanie itp., Ale wszystko sprowadza się do tego:
Możesz chronić swoje dane, ale nie możesz chronić swojego sprzętu, gdy ktoś miał do niego dostęp. A jeśli nadal będziesz używać dowolnego sprzętu po uzyskaniu dostępu przez inną osobę, narażasz swoje dane na niebezpieczeństwo!
Używaj bezpiecznego notebooka z funkcją wykrywania manipulacji, która usuwa pamięć RAM, gdy ktoś próbuje ją otworzyć, użyj szyfrowania całego dysku, przechowuj kopie zapasowe danych zaszyfrowanych w różnych lokalizacjach. Utrudnij więc fizyczny dostęp do sprzętu. Ale jeśli uważasz, że ktoś miał dostęp do twojego sprzętu, wytrzyj go i wyrzuć.
Następnym pytaniem, które powinieneś zadać, jest: Jak zdobyć nowy sprzęt, który nie został zmodyfikowany.
źródło
Użyj hasła ATA dla swojego HDD / SSD
Zapobiegnie to użyciu dysku bez hasła . Oznacza to, że nie można uruchomić bez hasła, ponieważ nie można uzyskać dostępu do MBR lub ESP bez hasła. A jeśli dysk jest używany w innej maszynie, hasło jest nadal wymagane.
Możesz więc użyć tak zwanego hasła użytkownika ATA dla swojego HDD / SSD. Zazwyczaj jest to ustawiane w systemie BIOS (ale nie jest to hasło systemu BIOS).
Aby zwiększyć bezpieczeństwo, możesz także ustawić główne hasło ATA na dysku. Aby wyłączyć użycie hasła producenta.
Możesz to zrobić również na cli
hdparm
.Szczególną ostrożność należy podjąć, ponieważ można stracić wszystkie swoje dane, jeśli straci hasło.
http://www.admin-magazine.com/Archive/2014/19/Using-the-ATA-security-features-of-modern-hard-disks-and-SSDs
Uwaga: istnieją również słabości, ponieważ istnieją programy, które twierdzą, że odzyskują hasło ATA, a nawet twierdzą, że je usuwają. Dlatego też nie jest w 100% bezpieczny.
Uwaga: hasło ATA niekoniecznie pochodzi z FED (pełne szyfrowanie dysku)
źródło