Ostatnio jeden z moich przyjaciół przyszedł do mnie, w ciągu 15 minut włamał się do mojego konta za pomocą Live CD i zresetował przede mną hasło. Byłem zaskoczony, gdy zobaczyłem coś takiego. Proszę, prowadź mnie, aby zapobiec takiej przyszłej próbie użycia Live CD.
55
Odpowiedzi:
Szybkim i łatwym sposobem na to jest wyłączenie uruchamiania z płyt CD i pamięci USB w BIOS-ie i ustawienie hasła BIOS-u.
Według tej strony wiki :
Nic jednak nie powstrzyma kogoś przed kradzieżą dysku twardego i zamontowaniem go na innym komputerze lub zresetowaniem systemu BIOS poprzez wyjęcie baterii lub jedną z innych metod, z których osoba atakująca może skorzystać, gdy ma fizyczny dostęp do komputera.
Lepszym sposobem byłoby zaszyfrowanie dysku, możesz to zrobić, szyfrując katalog domowy lub szyfrując cały dysk:
źródło
Stań obok komputera, trzymając kij do tee-ball. Ciężko pobić każdego, kto się zbliży.
Lub zamknij to.
Jeśli komputer jest fizycznie dostępny, jest niebezpieczny.
źródło
Najpierw ostrzeżenie ...
Procedura ochrony hasłem grub2 może być dość trudna, a jeśli się pomylisz, istnieje możliwość pozostawienia się bez systemu rozruchowego. Dlatego zawsze najpierw wykonaj pełną kopię zapasową dysku twardego. Polecam użycie Clonezilli - można również użyć innego narzędzia do tworzenia kopii zapasowych, takiego jak PartImage .
Jeśli chcesz to przećwiczyć - skorzystaj z gościa maszyny wirtualnej, którego możesz przywrócić migawkę.
zaczynajmy
Poniższa procedura chroni przed nieautoryzowaną edycją ustawień Grub podczas uruchamiania - to znaczy naciśnięcie przycisku eedytuj pozwala zmienić opcje uruchamiania. Możesz na przykład wymusić uruchomienie systemu w trybie pojedynczego użytkownika, a tym samym mieć dostęp do dysku twardego.
Tę procedurę należy stosować w połączeniu z szyfrowaniem dysku twardego i opcją bezpiecznego uruchamiania systemu BIOS, aby zapobiec rozruchowi z dysku CD na żywo, jak opisano w powiązanej odpowiedzi na to pytanie.
prawie wszystko poniżej można skopiować i wkleić jedną linię na raz.
Najpierw wykonaj kopię zapasową plików grub, które będziemy edytować - otwórz sesję terminalową:
Utwórzmy nazwę użytkownika dla gruba:
Przewiń w dół, dodaj nowy pusty wiersz, skopiuj i wklej następujące elementy:
W tym przykładzie utworzono dwie nazwy użytkownika: moja nazwa użytkownika i odzyskiwanie
Dalej - przejdź z powrotem do terminala (nie zamykaj
gedit
):Tylko użytkownicy Natty i Oneiric
Wygeneruj zaszyfrowane hasło, wpisując
Wprowadź hasło, którego użyjesz dwukrotnie, gdy pojawi się monit
Trochę nas interesuje początek
grub.pbkdf2...
i koniecBBE2646
Podświetl tę sekcję za pomocą myszy, kliknij ją prawym przyciskiem myszy i skopiuj.
Wróć do
gedit
aplikacji - zaznacz tekst „xxxx” i zastąp go tym, co skopiowałeś (kliknij prawym przyciskiem myszy i wklej)tzn. linia powinna wyglądać
wszystkie wersje buntu (przejrzyste i nowsze)
Zapisz i zamknij plik.
Na koniec musisz zabezpieczyć hasłem każdą pozycję menu grub (wszystkie pliki, które mają linię rozpoczynającą menuentry ):
Spowoduje to dodanie nowego wpisu
--users myusername
do każdej linii.Uruchom update-grub, aby zregenerować swój grub
Kiedy spróbujesz edytować wpis grub, poprosi on o twoją nazwę użytkownika, tj. Moja nazwa użytkownika i hasło, którego użyłeś.
Uruchom ponownie i sprawdź, czy nazwa użytkownika i hasło są wymuszane podczas edycji wszystkich wpisów grub.
Uwaga: pamiętaj, aby nacisnąć SHIFTpodczas uruchamiania, aby wyświetlić gruba.
Tryb odzyskiwania chroniony hasłem
Wszystkie powyższe można łatwo obejść za pomocą trybu odzyskiwania.
Na szczęście możesz również wymusić nazwę użytkownika i hasło, aby użyć pozycji menu trybu odzyskiwania. W pierwszej części tej odpowiedzi tworzymy dodatkową nazwę użytkownika o nazwie odzyskiwanie z hasłem 1234 . Aby użyć tej nazwy użytkownika, musimy edytować następujący plik:
zmień linię z:
Do:
Podczas korzystania z odzysku użyć nazwy użytkownika odzysku i hasło 1234
Uruchom,
sudo update-grub
aby ponownie wygenerować plik grubUruchom ponownie i sprawdź, czy jesteś proszony o podanie nazwy użytkownika i hasła podczas próby uruchomienia w trybie odzyskiwania.
Więcej informacji - http://ubuntuforums.org/showthread.php?t=1369019
źródło
printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
odzyskiwania, ale podobny w funkcji if. Czy możesz doradzić, jak to edytować?Ważne jest, aby pamiętać, że jeśli ktoś ma fizyczny dostęp do twojego komputera, zawsze będzie mógł robić rzeczy na twoim komputerze. Takie rzeczy jak zablokowanie obudowy komputera i hasła systemu BIOS nie powstrzymają zdeterminowanej osoby przed zabraniem dysku twardego i danych.
źródło
Możesz to zrobić tak, aby nawet w przypadku resetowania „resetter” nie widział danych.
Aby to zrobić, po prostu zaszyfruj
/home
.Jeśli chcesz to zrobić, aby resetowanie nie było możliwe, musisz coś usunąć, co jest odpowiedzialne za zmianę hasła.
źródło
sudo
uprawnienia, nie muszą/home
wyrządzać większych szkód.