Jak mogę zapobiec resetowaniu mojego hasła za pomocą Live CD?

55

Ostatnio jeden z moich przyjaciół przyszedł do mnie, w ciągu 15 minut włamał się do mojego konta za pomocą Live CD i zresetował przede mną hasło. Byłem zaskoczony, gdy zobaczyłem coś takiego. Proszę, prowadź mnie, aby zapobiec takiej przyszłej próbie użycia Live CD.

koder
źródło
10
Odłącz napęd dysków optycznych.
Anonimowy
7
Być może zainteresuje Cię informacja, że ​​można zrobić to samo w systemie Windows; kiedy pracowałem w dziale IT na dużym uniwersytecie, miałem ze sobą płytę CD, która pozwala mi to zrobić w razie potrzeby. Żaden komputer nie jest naprawdę bezpieczny, jeśli można uruchomić z innego nośnika.
Kelley,
4
Niski głos szeptał „pełne szyfrowanie dysku”.
Joshua,

Odpowiedzi:

56

Szybkim i łatwym sposobem na to jest wyłączenie uruchamiania z płyt CD i pamięci USB w BIOS-ie i ustawienie hasła BIOS-u.

Według tej strony wiki :

Umieszczanie haseł lub blokowanie pozycji menu (w plikach konfiguracyjnych Grub) nie zapobiega ręcznemu uruchamianiu użytkownika za pomocą poleceń wprowadzonych w wierszu poleceń grub.

Nic jednak nie powstrzyma kogoś przed kradzieżą dysku twardego i zamontowaniem go na innym komputerze lub zresetowaniem systemu BIOS poprzez wyjęcie baterii lub jedną z innych metod, z których osoba atakująca może skorzystać, gdy ma fizyczny dostęp do komputera.

Lepszym sposobem byłoby zaszyfrowanie dysku, możesz to zrobić, szyfrując katalog domowy lub szyfrując cały dysk:

Jorge Castro
źródło
2
To nie wystarczy - musisz również wyłączyć tryb odzyskiwania i zablokować GRUB2, aby nie można było określić opcji rozruchu (lub nie można określić bez podania hasła). Gdy to wszystko zrobisz, nie tylko nie powstrzyma to kogoś przed kradzieżą dysku twardego, ale ktoś, kto otworzy komputer, może wyłączyć hasło systemu BIOS, a ktoś, kto nie chce otworzyć komputera, może po prostu ukraść cały komputer.
Eliah Kagan,
ale kolego, co jeśli ktoś po prostu otworzy mój dysk twardy / etc / shadow zmieni moje zaszyfrowane hasło, a następnie uruchomi ponownie zaszyfrowany katalog domowy, otworzy się również dla niego
programista
10
@shariq Jeśli ktoś zmieni twoje hasło tylko w / etc / shadow, to zaszyfrowany katalog domowy nie otworzy się, gdy ktoś zaloguje się przy użyciu nowego hasła. W takim przypadku zaszyfrowany katalog domowy musiałby zostać zamontowany ręcznie przy użyciu starego hasła, a jeśli nikt nie znał starego hasła, musiałby zostać złamany, co byłoby trudne i prawdopodobnie nie powiedzie się. Podczas szyfrowania katalogu domowego zmiana hasła przez edycję pliku / etc / shadow nie zmienia hasła, za pomocą którego dane są szyfrowane.
Eliah Kagan
@EliahKagan Nie mogę uzyskać żadnych informacji, jak to zrobić, więc zacytowałem stronę wiki, jeśli znajdziesz więcej informacji, możesz je edytować w mojej odpowiedzi.
Jorge Castro,
6
+1 Pierwszą rzeczą, jaka przyszła mi do głowy, było zaszyfrowanie katalogu domowego.
Nathan Osman,
50

Stań obok komputera, trzymając kij do tee-ball. Ciężko pobić każdego, kto się zbliży.

Lub zamknij to.

Jeśli komputer jest fizycznie dostępny, jest niebezpieczny.

mdebusk
źródło
18
Jak chroni nas to przed mężczyznami z dużymi psami i karabinami maszynowymi? : D
jrg
3
zabezpiecz komputer z psami i korzystaj z kamer bezpieczeństwa, aby chronić psy i pistolety w pokoju obok
Kangarooo
3
+1 za powagę tej odpowiedzi. Naprawdę spisałeś się tutaj dobrze i zasługujesz na głosy.
RolandiXor
1
+1 za świetną odpowiedź i komentarze. Po prostu nie mogłem przestać się śmiać głośno !! : D :) @jrg był w najlepszym wydaniu .. ha ha ha .. :) Dobrze widzieć tego typu rzecz w askubuntu.
Saurav Kumar,
26

Najpierw ostrzeżenie ...

Procedura ochrony hasłem grub2 może być dość trudna, a jeśli się pomylisz, istnieje możliwość pozostawienia się bez systemu rozruchowego. Dlatego zawsze najpierw wykonaj pełną kopię zapasową dysku twardego. Polecam użycie Clonezilli - można również użyć innego narzędzia do tworzenia kopii zapasowych, takiego jak PartImage .

Jeśli chcesz to przećwiczyć - skorzystaj z gościa maszyny wirtualnej, którego możesz przywrócić migawkę.

zaczynajmy

Poniższa procedura chroni przed nieautoryzowaną edycją ustawień Grub podczas uruchamiania - to znaczy naciśnięcie przycisku eedytuj pozwala zmienić opcje uruchamiania. Możesz na przykład wymusić uruchomienie systemu w trybie pojedynczego użytkownika, a tym samym mieć dostęp do dysku twardego.

Tę procedurę należy stosować w połączeniu z szyfrowaniem dysku twardego i opcją bezpiecznego uruchamiania systemu BIOS, aby zapobiec rozruchowi z dysku CD na żywo, jak opisano w powiązanej odpowiedzi na to pytanie.

prawie wszystko poniżej można skopiować i wkleić jedną linię na raz.

Najpierw wykonaj kopię zapasową plików grub, które będziemy edytować - otwórz sesję terminalową:

sudo mkdir /etc/grub.d_backup
sudo cp /etc/grub.d/* /etc/grub.d_backup

Utwórzmy nazwę użytkownika dla gruba:

gksudo gedit /etc/grub.d/00_header &

Przewiń w dół, dodaj nowy pusty wiersz, skopiuj i wklej następujące elementy:

cat << EOF
set superusers="myusername"
password myusername xxxx
password recovery 1234
EOF

W tym przykładzie utworzono dwie nazwy użytkownika: moja nazwa użytkownika i odzyskiwanie

Dalej - przejdź z powrotem do terminala (nie zamykaj gedit):

Tylko użytkownicy Natty i Oneiric

Wygeneruj zaszyfrowane hasło, wpisując

grub-mkpasswd-pbkdf2

Wprowadź hasło, którego użyjesz dwukrotnie, gdy pojawi się monit

Your PBKDF2 is grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

Trochę nas interesuje początek grub.pbkdf2...i koniecBBE2646

Podświetl tę sekcję za pomocą myszy, kliknij ją prawym przyciskiem myszy i skopiuj.

Wróć do geditaplikacji - zaznacz tekst „xxxx” i zastąp go tym, co skopiowałeś (kliknij prawym przyciskiem myszy i wklej)

tzn. linia powinna wyglądać

password myusername grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

wszystkie wersje buntu (przejrzyste i nowsze)

Zapisz i zamknij plik.

Na koniec musisz zabezpieczyć hasłem każdą pozycję menu grub (wszystkie pliki, które mają linię rozpoczynającą menuentry ):

cd /etc/grub.d
sudo sed -i -e '/^menuentry /s/ {/ --users myusername {/' *

Spowoduje to dodanie nowego wpisu --users myusernamedo każdej linii.

Uruchom update-grub, aby zregenerować swój grub

sudo update-grub

Kiedy spróbujesz edytować wpis grub, poprosi on o twoją nazwę użytkownika, tj. Moja nazwa użytkownika i hasło, którego użyłeś.

Uruchom ponownie i sprawdź, czy nazwa użytkownika i hasło są wymuszane podczas edycji wszystkich wpisów grub.

Uwaga: pamiętaj, aby nacisnąć SHIFTpodczas uruchamiania, aby wyświetlić gruba.

Tryb odzyskiwania chroniony hasłem

Wszystkie powyższe można łatwo obejść za pomocą trybu odzyskiwania.

Na szczęście możesz również wymusić nazwę użytkownika i hasło, aby użyć pozycji menu trybu odzyskiwania. W pierwszej części tej odpowiedzi tworzymy dodatkową nazwę użytkownika o nazwie odzyskiwanie z hasłem 1234 . Aby użyć tej nazwy użytkownika, musimy edytować następujący plik:

gksudo gedit /etc/grub.d/10_linux

zmień linię z:

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

Do:

if ${recovery} ; then
   printf "menuentry '${title}' --users recovery ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi 

Podczas korzystania z odzysku użyć nazwy użytkownika odzysku i hasło 1234

Uruchom, sudo update-grubaby ponownie wygenerować plik grub

Uruchom ponownie i sprawdź, czy jesteś proszony o podanie nazwy użytkownika i hasła podczas próby uruchomienia w trybie odzyskiwania.


Więcej informacji - http://ubuntuforums.org/showthread.php?t=1369019

fossfreedom
źródło
Cześć! Poszedłem za swój kurs i to działa ... chyba że wybierzesz inne wersje, w których można użyć klawisza „E” bez hasła
gsedej
Raring nie ma wiersza printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"odzyskiwania, ale podobny w funkcji if. Czy możesz doradzić, jak to edytować?
papukaija
5

Ważne jest, aby pamiętać, że jeśli ktoś ma fizyczny dostęp do twojego komputera, zawsze będzie mógł robić rzeczy na twoim komputerze. Takie rzeczy jak zablokowanie obudowy komputera i hasła systemu BIOS nie powstrzymają zdeterminowanej osoby przed zabraniem dysku twardego i danych.

balony
źródło
3
W niektórych okolicznościach rzeczy te powstrzymają nawet zdeterminowaną osobę przed zabraniem dysku twardego i danych. Na przykład, jeśli jest to kiosk w kafejce internetowej z dobrym bezpieczeństwem fizycznym (kamery bezpieczeństwa, strażnicy, czujni właściciele / urzędnicy), określona osoba może nadal próbować fizycznie ukraść maszynę lub dysk twardy, ale prawdopodobnie zawieść.
Eliah Kagan
4
Osobno, jeśli ukradniesz dysk twardy z komputera, którego dane są zaszyfrowane, będziesz musiał złamać szyfrowanie, aby uzyskać dostęp do danych, a przy dobrej jakości hasłach, może to być zbyt trudne ... a może nawet niemożliwy.
Eliah Kagan
-2

Możesz to zrobić tak, aby nawet w przypadku resetowania „resetter” nie widział danych.

Aby to zrobić, po prostu zaszyfruj /home.

Jeśli chcesz to zrobić, aby resetowanie nie było możliwe, musisz coś usunąć, co jest odpowiedzialne za zmianę hasła.

Kangura
źródło
Dostęp do twoich osobistych plików to nie jedyny problem. Jeśli powiedzmy, że twoje konto ma sudouprawnienia, nie muszą /homewyrządzać większych szkód.
Kevin