Làm thế nào để bảo mật chế độ phục hồi grub

14

Khi tôi khởi động hệ thống vào chế độ phục hồi từ menu GRUB, tôi có thể truy cập vào tất cả các root mạnh mẽ mà không cần nhập bất kỳ mật khẩu nào, do đó không an toàn.

Làm thế nào tôi có thể bảo mật điều này và đảm bảo rằng mật khẩu được hỏi mỗi khi tôi cố gắng truy cập root trong chế độ phục hồi?

security  grub2 
Mứt
nguồn
Bạn có cần làm rõ nữa không?
Erik Johansson
Ai đó có thể vui lòng làm rõ làm thế nào để làm điều này trong 14.04 LTS? Tôi đã thử nó, làm theo các hướng dẫn tại help.ubfox.com/community/Grub2/Passwords#Password_Encoding để mật khẩu không được lưu trữ trong văn bản đơn giản và hoàn toàn không thể khởi động máy - nó sẽ không nhận ra mật khẩu. Ngoài ra, tôi không muốn mật khẩu bảo vệ TẤT CẢ việc khởi động, chỉ cần khôi phục. Vâng, tôi biết rằng nó không hoàn toàn an toàn, nhưng tôi có một yêu cầu được lưu lại từ trên để phục hồi bảo vệ bằng mật khẩu.
betseyb

Câu trả lời:

9

Có một bài đăng trên các diễn đàn Ubuntu về việc bảo vệ các mục bằng mật khẩu , về cơ bản để tạo các trình phục hồi yêu cầu bạn phải đăng nhập như siêu nhân với mật khẩu 1234, bạn cần chỉnh sửa một số tệp cấu hình / tập lệnh rất nhiều lông:

Thêm vào /etc/grub.d/00_header

cat << EOF
set superusers="superman"
password superman 1234
password bill 5678
EOF

Thay đổi /etc/grub.d/10_linux

Từ: 

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

Đến:

if ${recovery} ; then
   printf "menuentry '${title}' --users superman ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi

Bảo vệ hoàn hảo là vô cùng khó khăn

Những việc khác bạn cần làm là mật khẩu bảo vệ bios của bạn, vô hiệu hóa khả năng khởi động từ bất cứ thứ gì khác ngoài ổ cứng chính và mã hóa phân vùng gốc của bạn và gắn kết bất kỳ phân vùng nào khác dưới dạng noexec. Điều này vẫn để lại rất nhiều vectơ.

Erik Johansson
nguồn
Điều đó có vẻ đầy hứa hẹn. Sẽ kiểm tra xem.
Jamess
Tôi không thể tìm thấy dòng nào như vậy bao giờ @Ron
Randol Albert
2

Cách đáng tin cậy duy nhất để bảo vệ hệ thống khỏi kẻ tấn công có quyền truy cập vật lý vào máy là mã hóa toàn bộ đĩa.

Adam Byrtek
nguồn
Hoặc khóa BIOS
Reuben Swartz
1
Việc đặt lại mật khẩu BIOS một cách đơn giản là một khi bạn có quyền truy cập vào phần cứng. Tuy nhiên, một đĩa được mã hóa với cụm mật khẩu tốt (miễn nhiễm với tấn công từ điển) sẽ vẫn an toàn miễn là AES an toàn.
Adam Byrtek
Không thực sự dễ dàng bởi vì bạn thường sẽ cần các công cụ và máy tính khác để làm điều đó.
Erik Johansson
Tất cả phụ thuộc vào một mô hình mối đe dọa.
Adam Byrtek
0

Bạn không thể bảo vệ dữ liệu của mình nếu nó không được mã hóa, nhưng bạn có thể bảo vệ rootngười dùng. Khi bất cứ ai cố gắng truy cập đĩa của bạn thông qua recovery mode, cô ấy / anh ấy cần mật khẩu.

đặt mật khẩu root

sudo passwd root #set new password for user named root

kiểm tra quyền truy cập root

su
shantanu
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.