Jak zabezpieczyć tryb odzyskiwania gruba

14

Kiedy uruchamiam system w trybie odzyskiwania z menu GRUB, mogę dostać się do wszystkich potężnych użytkowników root bez wprowadzania hasła, co jest niepewne.

Jak mogę to zabezpieczyć i upewnić się, że hasło jest zadawane przy każdej próbie dostępu do roota w trybie odzyskiwania?

security  grub2 
Jamess
źródło
Czy potrzebujesz już wyjaśnień?
Erik Johansson
Czy ktoś może wyjaśnić, jak to zrobić w 14.04 LTS? Próbowałem, postępując zgodnie z instrukcjami na help.ubuntu.com/community/Grub2/Passwords#Password_Encryption, aby hasło nie było przechowywane w postaci zwykłego tekstu i nie było w ogóle możliwe uruchomienie komputera - nie rozpoznałby hasła. Nie chcę też zabezpieczać hasłem WSZYSTKIEGO uruchamiania, tylko odzyskiwanie. Tak, wiem, że nie jest to całkowicie bezpieczne, ale z góry przekazano mi wymóg odzyskiwania w celu ochrony hasłem.
betseyb

Odpowiedzi:

9

Na forach Ubuntu znajduje się post dotyczący ochrony wpisów hasłem. Zasadniczo, aby menu przywracania wymagało zalogowania się jako superman przy użyciu hasła 1234 , musisz edytować niektóre bardzo owłosione pliki konfiguracji / skryptu:

Dodaj do /etc/grub.d/00_header

cat << EOF
set superusers="superman"
password superman 1234
password bill 5678
EOF

Zmień /etc/grub.d/10_linux

Od: 

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

Do:

if ${recovery} ; then
   printf "menuentry '${title}' --users superman ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi

Doskonalenie ochrony jest niezwykle trudne

Inne rzeczy, które musisz zrobić, to zabezpieczyć hasłem swoje BIOS-y, wyłączyć uruchamianie z niczego innego niż główny dysk twardy oraz zaszyfrować partycję root i zamontować dowolną inną partycję jako noexec. To wciąż pozostawia wiele wektorów.

Erik Johansson
źródło
To wygląda obiecująco. Sprawdzę to.
Jamess
Nie mogę znaleźć tej linii, co kiedykolwiek @Ron
Randol Albert
2

Jedynym niezawodnym sposobem ochrony systemu przed atakującym mającym fizyczny dostęp do komputera jest szyfrowanie na pełnym dysku.

Adam Byrtek
źródło
Lub zablokowanie systemu BIOS
Reuben Swartz
1
Resetowanie hasła systemu BIOS po uzyskaniu dostępu do sprzętu jest banalne. Jednak dysk zaszyfrowany dobrym hasłem (odporny na atak słownikowy) pozostanie bezpieczny, dopóki AES jest bezpieczny.
Adam Byrtek
Nie bardzo łatwe, ponieważ często potrzebujesz do tego narzędzi i innego komputera.
Erik Johansson
Wszystko zależy od modelu zagrożenia.
Adam Byrtek
0

Nie możesz chronić swoich danych, jeśli nie są zaszyfrowane, ale możesz chronić rootużytkownika. Gdy ktoś próbuje uzyskać dostęp do dysku za pośrednictwem recovery mode, potrzebuje hasła.

ustaw hasło roota

sudo passwd root #set new password for user named root

przetestuj dostęp do roota

su
shantanu
źródło
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.