Làm thế nào để bảo mật máy tính xách tay của tôi để không thể hack bằng cách truy cập vật lý?

73

Tôi đã làm rối hệ thống của mình trước đó, tôi được chào đón với một màn hình đen, khi khởi động vào Ubuntu. Khi tôi khởi động máy tính xách tay của mình, tôi đã chọn tùy chọn khôi phục từ menu grub và chọn dự phòng ở thiết bị đầu cuối gốc . Tôi thấy rằng tôi có thể sử dụng lệnh add user, với nó, tôi có thể sử dụng để tạo một người dùng đặc quyền trên máy của mình.

Đó không phải là một vấn đề bảo mật?

Một người có thể đã đánh cắp máy tính xách tay của tôi và khi khởi động đã chọn phục hồi và thêm một người dùng khác, sau đó tôi bị làm mờ. Bao gồm dữ liệu của tôi.

Hãy nghĩ về nó, ngay cả khi bạn bằng cách nào đó loại bỏ mục đó, người ta có thể khởi động từ đĩa CD trực tiếp, chrootkhởi động và sau đó thêm một người dùng khác, với các đặc quyền phù hợp cho phép nó xem tất cả dữ liệu của tôi.

Nếu tôi đặt BIOS chỉ khởi động ở độ phân giải HD, không có USB, CD / DVD, Khởi động mạng và đặt mật khẩu BIOS, điều đó vẫn không thành vấn đề, bởi vì bạn vẫn có mục khởi động khôi phục grub đó.

Tôi khá chắc chắn rằng ai đó từ Trung Quốc, Nga không thể hack Ubuntu Trusty Tahr của tôi, từ mạng, vì nó an toàn như thế. Nhưng, nếu ai đó có quyền truy cập vật lý vào máy của tôi, thì, đó là lý do tại sao tôi hỏi câu hỏi này. Làm cách nào tôi có thể bảo mật máy của mình để không thể hack thông qua truy cập vật lý?

Báo cáo lỗi:

14.04  grub2  security  encryption 
lưỡi19899
nguồn
35
Mã hóa toàn bộ đĩa và long lanh cho các ốc vít của bạn. Ai không làm điều đó ngày nay?
mondjunge
2
@ByteCommander bạn có thể thêm người dùng root. Chỉ cần thêm một người dùng khác với uid 0 đến / etc / password. Tôi vừa thêm fred fred:x:0:0:fred,,,:/home/fred:/bin/bashvà bây giờ nếu tôi đăng nhập như fred và chạy whoami, tôi nhận đượcroot
Josef
3
@ByteCommander họ nên . Các công cụ để quản lý tài khoản như adduservv sẽ không cho phép bạn làm điều đó thường xuyên, mà chỉ chỉnh sửa /etc/passwdcông việc. Trở thành một hacker có nghĩa là bỏ qua những gì bạn nên làm;)
Josef
3
@ blade19899 Lỗi mới của bạn chắc chắn sẽ bị từ chối. So sánh cái này hiện có: bug.launchpad.net/ubfox/+orms/283662
Chỉ huy Byte
4
@ blade19899 Quan điểm rộng hơn của tôi là bạn cần suy nghĩ về rủi ro và sự đánh đổi, chứ không phải tuyệt đối. Tôi không biết bạn là ai hoặc bạn sống ở đâu nhưng một vụ cướp nhà dẫn đến việc ai đó sử dụng dữ liệu của bạn một cách hiệu quả (thay vì chỉ cố gắng giảm tải phần cứng) âm thanh có vẻ hơi xa vời và có thể ít quan tâm hơn thời gian, tiền hoặc thậm chí mất dữ liệu có thể dẫn đến việc thiếu các tùy chọn khôi phục hiệu quả. Đó là lý do tại sao có một thiết bị đầu cuối gốc dự phòng là một điều tốt. Nhưng rõ ràng điều đó không có nghĩa là bạn không nên xem xét mã hóa toàn bộ đĩa.
Thư giãn

Câu trả lời:

86

Tôi đoán là chỉ mã hóa toàn bộ đĩa bằng thuật toán mạnh và quan trọng nhất là mật khẩu tốt là thứ duy nhất có thể bảo mật dữ liệu được lưu trữ cục bộ của bạn. Điều này mang lại cho bạn khả năng bảo mật 99,99%. Vui lòng tham khảo một trong nhiều hướng dẫn về cách làm điều này.

Ngoài ra, KHÔNG thể bảo mật máy của bạn khỏi một hacker có kinh nghiệm với quyền truy cập vật lý.

  • Mật khẩu người dùng / tài khoản:
    Thật dễ dàng để tạo người dùng quản trị viên mới nếu bạn khởi động vào chế độ khôi phục, như bạn đã mô tả, bởi vì bạn nhận được một vỏ gốc mà không bị yêu cầu nhập mật khẩu theo cách này.
    Điều đó có thể trông giống như một vấn đề bảo mật ngẫu nhiên, nhưng được dành cho (ai có thể nghĩ rằng?) Các trường hợp khôi phục, trong đó bạn ví dụ mất mật khẩu quản trị viên hoặc làm rối sudolệnh hoặc các nội dung quan trọng khác.

  • mật khẩu gốc:
    Ubuntu không đặt bất kỳ mật khẩu người dùng root theo mặc định. Tuy nhiên, bạn có thể đặt một và sẽ được yêu cầu nếu bạn khởi động ở chế độ phục hồi. Điều này có vẻ khá an toàn, nhưng vẫn không có giải pháp cuối cùng an toàn. Bạn vẫn có thể thêm tham số kernel thông single init=/bin/bashqua GRUB trước khi khởi động Ubuntu khởi động nó ở chế độ người dùng - thực tế là một vỏ gốc không có mật khẩu.

  • Bảo vệ menu GRUB bằng mật khẩu:
    Bạn có thể bảo mật các mục trong menu GRUB của mình chỉ có thể truy cập được sau khi xác thực, tức là bạn có thể từ chối khởi động chế độ khôi phục mà không cần mật khẩu. Điều này cũng ngăn chặn thao tác các tham số kernel. Để biết thêm thông tin, hãy tham khảo trang Grub2 / Mật khẩu trên help.ubfox.com . Điều này chỉ có thể được bỏ qua nếu bạn khởi động từ phương tiện bên ngoài hoặc kết nối trực tiếp ổ cứng với máy khác.

  • Vô hiệu hóa khả năng khởi động từ phương tiện bên ngoài trong BIOS:
    Bạn có thể đặt thứ tự khởi động và thường loại trừ các thiết bị khởi động trong nhiều phiên bản BIOS / UEFI hiện tại. Tuy nhiên, những cài đặt đó không được bảo mật, vì mọi người đều có thể vào menu cài đặt. Bạn cũng phải đặt mật khẩu ở đây, nhưng ...

  • Mật khẩu BIOS:
    Bạn cũng thường có thể bỏ qua mật khẩu BIOS. Có một số phương pháp:

    • Đặt lại bộ nhớ CMOS (nơi lưu trữ cài đặt BIOS) bằng cách mở vỏ máy tính và tháo pin vật lý hoặc tạm thời cài đặt nút nhảy "Clear CMOS".
    • Đặt lại cài đặt BIOS bằng tổ hợp phím dịch vụ. Hầu hết các nhà sản xuất bo mạch chủ mô tả các tổ hợp phím trong hướng dẫn sử dụng dịch vụ của họ để đặt lại các cài đặt BIOS bị rối về các giá trị mặc định, bao gồm cả mật khẩu. Một ví dụ sẽ là giữ ScreenUptrong khi bật nguồn, nếu tôi nhớ đúng, đã mở khóa bo mạch chủ acer với BIOS AMI một lần cho tôi sau khi tôi làm hỏng cài đặt ép xung của mình.
    • Cuối cùng nhưng không kém phần quan trọng, có một bộ mật khẩu BIOS mặc định dường như luôn hoạt động, độc lập với mật khẩu được đặt thực. Tôi đã không kiểm tra nó, nhưng trang web này cung cấp một danh sách về chúng, được phân loại theo nhà sản xuất.
      Cảm ơn Rinzwind cho thông tin và liên kết này!

  • Khóa vỏ máy tính / từ chối truy cập vật lý vào bo mạch chủ và đĩa cứng:
    Ngay cả khi mọi thứ khác không thành công, kẻ trộm dữ liệu vẫn có thể mở máy tính xách tay / máy tính của bạn, lấy ổ cứng ra và kết nối với máy tính của chính nó. Gắn kết và truy cập tất cả các tập tin không được mã hóa là một miếng bánh từ đó. Bạn phải đặt nó vào hộp khóa an toàn nơi bạn có thể chắc chắn không ai có thể mở máy tính. Điều này tuy nhiên là không thể đối với máy tính xách tay và khó khăn cho máy tính để bàn. Có lẽ bạn có thể nghĩ đến việc sở hữu một bộ phim hành động như thiết bị tự hủy, làm nổ tung một số chất nổ bên trong nếu ai đó cố gắng mở nó? ;-) Nhưng hãy chắc chắn rằng bạn sẽ không bao giờ phải tự mở nó để bảo trì!

  • Mã hóa toàn bộ đĩa:
    Tôi biết tôi đã khuyên phương pháp này là an toàn, nhưng nó cũng không an toàn 100% nếu bạn mất máy tính xách tay trong khi bật. Có một cái gọi là "tấn công khởi động lạnh" cho phép kẻ tấn công đọc các khóa mã hóa từ RAM của bạn sau khi đặt lại máy đang chạy. Điều này sẽ dỡ hệ thống, nhưng không làm mất nội dung RAM của thời gian mà không có nguồn là đủ ngắn.
    Cảm ơn kos đã bình luận về cuộc tấn công này!
    Tôi cũng sẽ trích dẫn bình luận thứ hai của mình ở đây:

    Đây là một video cũ, nhưng giải thích rõ về khái niệm này: "Lest We Remember: Cold Boot Attacks on Encrypt Keys" trên YouTube ; nếu bạn đã đặt mật khẩu BIOS, kẻ tấn công vẫn có thể tháo pin CMOS trong khi máy tính xách tay vẫn bật để cho phép ổ đĩa được chế tạo tùy chỉnh khởi động mà không mất bất kỳ giây quan trọng nào; ngày nay điều này còn đáng sợ hơn do SSD, vì SSD được chế tạo tùy chỉnh có thể sẽ có khả năng kết xuất ngay cả 8GB trong vòng chưa đầy 1 phút, xem xét tốc độ ghi ~ 150MB / s

    Câu hỏi liên quan nhưng vẫn chưa được trả lời về cách ngăn chặn Tấn công khởi động nguội: Làm cách nào để tôi kích hoạt Ubuntu (sử dụng mã hóa toàn bộ đĩa) để gọi LUKSsupend trước khi ngủ / tạm dừng RAM?

Để kết luận: Hiện tại không có gì thực sự bảo vệ máy tính xách tay của bạn khỏi bị sử dụng bởi người có quyền truy cập vật lý và mục đích xấu. Bạn chỉ có thể mã hóa hoàn toàn tất cả dữ liệu của mình nếu bạn đủ hoang tưởng để có nguy cơ mất tất cả mọi thứ bằng cách quên mật khẩu hoặc sự cố. Vì vậy, mã hóa làm cho các bản sao lưu thậm chí còn quan trọng hơn chúng đã có. Tuy nhiên, sau đó chúng cũng nên được mã hóa và đặt ở một nơi rất an toàn.
Hoặc chỉ không cho máy tính xách tay của bạn đi và hy vọng bạn sẽ không bao giờ mất nó. ;-)

Nếu bạn ít quan tâm đến dữ liệu của mình mà quan tâm nhiều hơn đến phần cứng của bạn, bạn có thể muốn mua và cài đặt một người gửi GPS vào trường hợp của bạn, nhưng điều đó chỉ dành cho những người hoang tưởng thực sự hoặc các đại lý liên bang.

Chỉ huy Byte
nguồn
7
Và mã hóa toàn bộ đĩa vẫn không cứu bạn khỏi các cuộc tấn công khởi động lạnh, nếu máy tính xách tay của bạn bị đánh cắp trong khi bật!
kos
14
Ngoài ra, sau khi máy tính xách tay của bạn nằm ngoài tầm kiểm soát của bạn trong bất kỳ khoảng thời gian nào, nó không thể được mong đợi là an toàn nữa. Bây giờ nó có thể đăng nhập mật khẩu tiền khởi động của bạn, ví dụ.
Josef
1
Mã hóa dữ liệu của bạn không nên làm tăng nguy cơ mất dữ liệu, bởi vì bạn có bản sao lưu, phải không? Dữ liệu chỉ được lưu trữ một lần không tốt hơn nhiều so với dữ liệu không tồn tại. SSD đặc biệt có xu hướng đột nhiên thất bại mà không có cơ hội lấy bất cứ thứ gì ra khỏi chúng.
Josef
3
Đây là một video cũ, nhưng giải thích tốt về khái niệm này: youtube.com/watch?v=JD cổPIgn9U ; nếu bạn đã đặt mật khẩu BIOS, kẻ tấn công vẫn có thể tháo pin CMOS trong khi máy tính xách tay vẫn bật để cho phép ổ đĩa được chế tạo tùy chỉnh khởi động mà không mất bất kỳ giây quan trọng nào; ngày nay điều này còn đáng sợ hơn do SSD, vì SSD được chế tạo tùy chỉnh có thể sẽ có khả năng đổ ngay cả 8GB trong vòng chưa đầy 1 phút, xem xét tốc độ ghi ~ 150MB / s
kos
2
@ByteCommander nhưng SSD của bạn có thể bị lỗi giống nhau và tất cả dữ liệu của bạn bị mất. Chắc chắn, nếu bạn có xu hướng quên mật khẩu (tốt, hãy viết nó xuống và để nó an toàn) thì khả năng mất tất cả dữ liệu của bạn có thể tăng khi mã hóa, nhưng không phải là dữ liệu của bạn siêu an toàn trừ khi bạn dám mã hóa nó . Bạn không "mạo hiểm mọi thứ bằng cách quên mật khẩu hoặc sự cố", bạn làm điều đó bằng cách không có bản sao lưu.
Josef
11

Máy tính xách tay an toàn nhất là cái không có dữ liệu trên đó. Bạn có thể thiết lập môi trường đám mây riêng của mình và sau đó không lưu trữ bất cứ thứ gì quan trọng tại địa phương.

Hoặc lấy ổ cứng ra và làm tan chảy nó bằng thermite. Mặc dù điều này về mặt kỹ thuật trả lời câu hỏi, nó có thể không thực tế nhất vì bạn sẽ không thể sử dụng máy tính xách tay của mình nữa. Nhưng những tin tặc không bao giờ cũng vậy.

Chặn các tùy chọn đó, mã hóa kép ổ cứng và yêu cầu cắm USB để giải mã nó. Tất nhiên, USB chứa một bộ khóa giải mã và BIOS chứa bộ khác - được bảo vệ bằng mật khẩu. Kết hợp điều đó với thói quen tự hủy dữ liệu tự động nếu ngón tay cái USB không được cắm trong khi khởi động / tiếp tục tạm dừng. Mang theo ngón tay cái USB trên người của bạn mọi lúc. Sự kết hợp này cũng xảy ra để đối phó với XKCD # 538 .

XKCD # 538

E. Diaz
nguồn
7
Thói quen tự hủy tự động chắc chắn sẽ là một bất ngờ thú vị một khi ngón tay cái USB của bạn tích tụ một ít bụi trên các miếng tiếp xúc.
Dmitry Grigoryev
10

Mã hóa đĩa của bạn. Bằng cách này, hệ thống và dữ liệu của bạn sẽ được an toàn trong trường hợp máy tính xách tay của bạn bị đánh cắp. Nếu không thì:

  • Mật khẩu BIOS sẽ không giúp ích: kẻ trộm có thể dễ dàng trích xuất đĩa từ máy tính của bạn và đặt nó vào một PC khác để khởi động từ nó.
  • Mật khẩu người dùng / root của bạn sẽ không giúp được gì: kẻ trộm có thể dễ dàng gắn đĩa như đã giải thích ở trên và truy cập tất cả dữ liệu của bạn.

Tôi khuyên bạn nên có một phân vùng LUKS để bạn có thể thiết lập LVM. Bạn có thể để phân vùng khởi động không được mã hóa để bạn chỉ cần nhập mật khẩu một lần. Điều này có nghĩa là hệ thống của bạn có thể dễ dàng bị xâm phạm hơn nếu bị can thiệp (bị đánh cắp và trả lại cho bạn mà bạn không hề hay biết), nhưng đây là trường hợp rất hiếm và, trừ khi bạn nghĩ rằng bạn đang bị NSA, chính phủ hoặc một loại nào đó theo dõi mafia, bạn không nên lo lắng về điều này.

Trình cài đặt Ubuntu của bạn sẽ cung cấp cho bạn tùy chọn cài đặt với LUKS + LVM theo cách rất dễ dàng và tự động. Tôi không đăng lại chi tiết ở đây, vì đã có rất nhiều tài liệu trên mạng. :-)

Peque
nguồn
Nếu có thể, bạn có thể cung cấp một câu trả lời chi tiết hơn. Như bạn có thể nói bằng câu hỏi của tôi, tôi không phải là người bảo mật.
lưỡi19899
nâng cấp cho các dấu đầu dòng, nhưng lưu ý rằng mã hóa toàn bộ đĩa không phải là cách duy nhất, cũng không cần thiết nếu bạn giới hạn các tệp nhạy cảm của mình /home/yourName- như bạn nên! - sau đó xếp thư mục này bằng trình điều khiển mã hóa ở cấp độ tệp (chẳng hạn như thư mục tôi đã đề cập tại OP và sẽ không spam nữa), một giải pháp thay thế rất khả thi. Tôi không lo lắng về việc mọi người nhìn thấy tất cả những thứ nhàm chán /usr, v.v.
underscore_d
1
@underscore_d: Tôi thực sự lo lắng về những thứ khác bên ngoài /home(bao gồm dữ liệu cá nhân và chuyên nghiệp trong các phân vùng khác), vì vậy tôi dễ dàng mã hóa mọi thứ hơn, nhưng tôi đoán mỗi người dùng có nhu cầu riêng của họ :-). Tuy nhiên, sử dụng ecryptfskhông phải là quyết định hiệu suất tốt nhất. Bạn có thể tìm thấy một số điểm chuẩn ở đây . Hãy chắc chắn đọc các trang 2-5trong bài viết để có kết quả thực tế (trang 1chỉ là phần giới thiệu).
Peque
Rất đúng, cảm ơn các liên kết / điểm chuẩn. Tôi chưa đạt được bất kỳ rào cản hiệu suất nào, nhưng có lẽ sau này tôi sẽ làm được. Ngoài ra, tôi nhận ra có lẽ tôi sẽ phải bắt đầu suy nghĩ về việc mã hóa những thứ như /var/log, /var/www(nguồn), và /tmpvì vậy, có thể mã hóa toàn bộ đĩa sẽ bắt đầu có vẻ hợp lý hơn!
gạch dưới
@underscore_d: yeah, và sau đó bạn bắt đầu suy nghĩ về /etccác thư mục cấp cao nhất khác ... Cuối cùng, mã hóa toàn bộ đĩa là một giải pháp đơn giản và nhanh chóng sẽ cho phép bạn ngủ như một đứa trẻ mỗi đêm. ^^
Peque
5

Có một vài giải pháp phần cứng đáng chú ý.

Đầu tiên, một số máy tính xách tay, chẳng hạn như một số máy tính xách tay kinh doanh của Lenovo đi kèm với một công tắc phát hiện giả mạo phát hiện khi vỏ được mở. Trên Lenovo, tính năng này cần được kích hoạt trong BIOS và mật khẩu quản trị viên cần được đặt. Nếu phát hiện giả mạo, máy tính xách tay sẽ (tôi tin) sẽ tắt ngay lập tức, khi khởi động, nó sẽ hiển thị cảnh báo và yêu cầu mật khẩu quản trị viên và bộ điều hợp AC thích hợp để tiến hành. Một số máy dò giả mạo cũng sẽ đặt báo thức âm thanh và có thể được cấu hình để gửi e-mail.

Phát hiện giả mạo không thực sự ngăn chặn giả mạo (nhưng nó có thể khiến việc đánh cắp dữ liệu từ RAM trở nên khó khăn hơn - và phát hiện giả mạo có thể "gạch" thiết bị nếu phát hiện thứ gì đó thực sự tinh ranh như cố gắng tháo pin CMOS). Ưu điểm chính là ai đó không thể can thiệp vào phần cứng mà bạn không biết - nếu bạn đã thiết lập bảo mật phần mềm mạnh như mã hóa toàn bộ đĩa thì việc giả mạo phần cứng chắc chắn là một trong những vectơ tấn công còn lại.

Một bảo mật vật lý khác là một số máy tính xách tay có thể bị khóa vào một dock. Nếu đế được gắn chắc chắn vào bàn (thông qua các ốc vít sẽ ở dưới máy tính xách tay) và máy tính xách tay được khóa vào đế khi không sử dụng, thì nó cung cấp thêm một lớp bảo vệ vật lý. Tất nhiên điều này sẽ không ngăn chặn một tên trộm quyết đoán nhưng nó chắc chắn khiến việc đánh cắp máy tính xách tay khỏi nhà hoặc doanh nghiệp của bạn trở nên khó khăn hơn và trong khi bị khóa, nó vẫn hoàn toàn có thể sử dụng được (và bạn có thể cắm các thiết bị ngoại vi, ethernet và vào dock).

Tất nhiên, các tính năng vật lý này không hữu ích để bảo vệ máy tính xách tay không có chúng. Nhưng nếu bạn có ý thức bảo mật, có thể đáng để xem xét chúng khi mua máy tính xách tay.

Blake Walsh
nguồn
2

Ngoài ra để mã hóa ổ đĩa của bạn (bạn sẽ không gặp phải vấn đề đó): - SELinux và TRESOR. Cả hai đều làm cứng nhân Linux và cố gắng gây khó khăn cho những kẻ tấn công đọc những thứ từ bộ nhớ.

Trong khi bạn đang ở đó: Bây giờ chúng tôi vào lãnh thổ không chỉ sợ những kẻ xấu ngẫu nhiên muốn thông tin thẻ ghi nợ của bạn (họ không làm điều đó) mà thường là đủ các cơ quan tình báo. Trong trường hợp đó bạn muốn làm nhiều hơn:

  • Cố gắng thanh lọc evrything nguồn đóng (cũng là phần sụn) khỏi PC. Điều này bao gồm UEFI / BIOS!
  • Sử dụng tianocore / coreboot làm UEFI / BIOS mới
  • Sử dụng SecureBoot với các khóa riêng của bạn.

rất nhiều thứ khác bạn có thể làm nhưng những thứ đó sẽ cho một lượng hợp lý những thứ họ cần để tích tắc.

Và đừng quên về: xkcd ;-)

ấu trùng
nguồn
Những đề xuất này không hữu ích. Cả SELinux và TRESOR đều không ngăn ai đó truy cập vật lý. Chúng không được thiết kế cho mô hình mối đe dọa này. Họ sẽ cung cấp một cảm giác an toàn sai lầm. Mã nguồn đóng PS Purging hoàn toàn không liên quan đến việc cung cấp bảo mật chống lại ai đó có quyền truy cập vật lý.
DW
1
@DW "TRESOR (từ viết tắt đệ quy cho" TRESOR chạy mã hóa an toàn bên ngoài RAM ") là một bản vá nhân Linux cung cấp mã hóa chỉ dựa trên CPU để chống lại các cuộc tấn công khởi động lạnh" - vì vậy TRESOR chắc chắn giúp ích trong các tình huống như vậy. Nhưng đó chỉ là một điểm phụ. Tôi đã viết 'Ngoài ra' vì những điều đó sẽ không thực sự làm gì nếu bạn không mã hóa đĩa của mình (trong kịch bản truy cập vật lý). Tuy nhiên, khi bạn tăng cường bảo mật vật lý, bạn không nên quên rằng kẻ tấn công vẫn có thể khởi động và thực hiện một cuộc tấn công kỹ thuật số (ví dụ: khai thác lỗi).
larkey
@DW Thật là tồi tệ nếu PC của bạn được mã hóa độc đáo nhưng dễ bị leo thang đặc quyền. Đó là lý do - nếu một người sắp bảo mật hệ thống từ phía vật lý - người ta cũng nên thực hiện một số phần mềm cứng. Tôi tuyên bố rõ ràng rằng họ đã làm cứng hạt nhân Linux và chúng nên được thực hiện bổ sung . Điều tương tự cũng xảy ra với phần mềm nguồn đóng. Đĩa của bạn có thể được mã hóa độc đáo nhưng nếu có một keylogger cửa sau trong UEFI, nó sẽ không giúp bạn chống lại các cơ quan tình báo.
larkey
Nếu bạn sử dụng mã hóa toàn bộ đĩa và không để máy tính của bạn chạy không giám sát, các cuộc tấn công leo thang đặc quyền là không liên quan, vì kẻ tấn công sẽ không biết mật khẩu giải mã. (. Sử dụng đúng cách mã hóa đĩa đầy đủ đòi hỏi bạn phải tắt / hibernate khi không giám sát) Nếu bạn sử dụng mã hóa đĩa đầy đủ và làm rời khỏi máy tính của bạn không cần giám sát, sau đó mã hóa đĩa đầy đủ có thể được bỏ qua bởi bất kỳ số lượng các phương pháp - ví dụ, gắn một USB dongle - ngay cả khi bạn sử dụng TRESOR, SELinux, v.v. Một lần nữa, những thứ đó không được thiết kế cho mô hình mối đe dọa này. Câu trả lời này dường như không phản ánh một phân tích bảo mật cẩn thận.
DW
1
Với từ ngữ "cố gắng", bất cứ điều gì đủ điều kiện - mã hóa rot13 có thể cố gắng đảm bảo rằng việc khai thác không thể chiếm lấy hệ thống. Nó sẽ không thành công đáng giá, nhưng tôi có thể mô tả nó như là cố gắng. Quan điểm của tôi là các biện pháp phòng thủ mà bạn đang sử dụng không hiệu quả trong việc ngăn chặn lớp tấn công này. SELinux / TRESOR không dừng khởi động lạnh. Để phân tích bảo mật, bạn phải bắt đầu với một mô hình mối đe dọa và phân tích phòng thủ chống lại mô hình mối đe dọa cụ thể đó. Bảo mật không phải là quá trình rắc vào một danh sách vô tận các hạn chế bổ sung nghe có vẻ tốt. Có một số khoa học cho nó.
DW
2

Bởi vì bạn đã thay đổi câu hỏi một chút, đây là câu trả lời của tôi cho phần đã thay đổi:

Làm cách nào tôi có thể bảo mật máy của mình để không thể hack thông qua truy cập vật lý?

Trả lời: Bạn không thể

Có rất nhiều hệ thống phần cứng và phần mềm tiên tiến như phát hiện giả mạo , mã hóa, v.v., nhưng tất cả đều nói đến điều này:

Bạn có thể bảo vệ dữ liệu của mình, nhưng bạn không thể bảo vệ phần cứng của mình khi có ai đó truy cập vào dữ liệu đó. Và nếu bạn tiếp tục sử dụng bất kỳ phần cứng nào sau khi người khác có quyền truy cập, bạn đang gây nguy hiểm cho dữ liệu của mình!

Sử dụng sổ ghi chép an toàn với tính năng phát hiện giả mạo để xóa RAM khi ai đó cố mở nó, sử dụng mã hóa toàn bộ đĩa, lưu trữ các bản sao lưu dữ liệu của bạn được mã hóa ở các vị trí khác nhau. Sau đó làm cho nó khó nhất có thể để có quyền truy cập vật lý vào phần cứng của bạn. Nhưng nếu bạn tin rằng ai đó đã truy cập vào phần cứng của bạn, hãy xóa sạch nó và vứt nó đi.

Câu hỏi tiếp theo bạn nên hỏi là: Làm thế nào tôi có thể có được phần cứng mới chưa bị giả mạo.

Josef
nguồn
1

Sử dụng mật khẩu ATA cho ổ cứng / SSD của bạn

Điều này sẽ ngăn việc sử dụng đĩa mà không cần mật khẩu . Điều này có nghĩa là bạn không thể khởi động mà không có mật khẩu vì bạn không thể truy cập MBR hoặc ESP mà không có mật khẩu. Và nếu đĩa được sử dụng bên trong một manchine khác, mật khẩu vẫn được yêu cầu.

Vì vậy, bạn có thể sử dụng cái gọi là mật khẩu ATA của người dùng cho ổ cứng / SSD. Điều này thường được đặt bên trong BIOS (nhưng đây không phải là mật khẩu BIOS).

Để bảo mật hơn, bạn cũng có thể đặt mật khẩu ATA chính trên đĩa. Để vô hiệu hóa việc sử dụng mật khẩu của nhà sản xuất.

Bạn có thể làm điều này trên cli với hdparmquá.

Cẩn thận nên được thực hiện vì bạn có thể mất tất cả dữ liệu của bạn nếu bạn mất mật khẩu.

http://www.admin-magazine.com/Archive/2014/19/Using-the-ATA-security-features-of-modern-hard-disks-and-SSDs

Lưu ý: Cũng có những điểm yếu ở đây vì có những phần mềm yêu cầu khôi phục mật khẩu ATA hoặc thậm chí yêu cầu xóa nó. Vì vậy, nó cũng không an toàn 100%.

Lưu ý: Mật khẩu ATA không nhất thiết phải đi kèm với Fed (Mã hóa toàn bộ đĩa)

solsTiCe
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.