Gần đây, một người bạn của tôi đã đến chỗ của tôi, trong vòng 15 phút, anh ta đã hack tài khoản của tôi bằng Live CD và đặt lại mật khẩu trước mặt tôi. Tôi đã bối rối khi thấy một điều như vậy. Vui lòng hướng dẫn tôi để ngăn chặn nỗ lực trong tương lai bằng cách sử dụng Live CD.

Một cách nhanh chóng và dễ dàng để làm điều này là vô hiệu hóa khả năng khởi động từ đĩa CD và USB trong BIOS của bạn và đặt mật khẩu BIOS.

Theo trang wiki này :

Đặt mật khẩu hoặc khóa các mục menu (trong tệp cấu hình Grub) không ngăn người dùng khởi động thủ công bằng cách sử dụng các lệnh được nhập tại dòng lệnh grub.

Tuy nhiên, không có gì ngăn ai đó lấy cắp ổ cứng của bạn và gắn nó vào máy khác hoặc đặt lại BIOS của bạn bằng cách tháo pin hoặc một trong những phương pháp khác mà kẻ tấn công có thể sử dụng khi chúng có quyền truy cập vật lý vào máy của bạn.

Cách tốt hơn là mã hóa ổ đĩa của bạn, bạn có thể thực hiện việc này bằng cách mã hóa thư mục chính hoặc mã hóa toàn bộ đĩa:

• Làm cách nào để mã hóa phân vùng nhà của tôi?
• https://help.ubfox.com/community/FullDiskEncodingHowto

Đứng bên cạnh máy tính của bạn trong khi cầm một cây gậy bóng chày. Đánh bại bất cứ ai đến gần.

Hoặc khóa nó lại.

Nếu máy tính của bạn có thể truy cập vật lý, nó không an toàn.

Đầu tiên là cảnh báo ...

Quy trình bảo vệ mật khẩu grub2 có thể khá khó khăn và nếu bạn hiểu sai, có khả năng để lại cho mình một hệ thống không thể khởi động. Do đó, luôn luôn tạo một bản sao lưu hình ảnh đầy đủ của ổ cứng của bạn trước. Đề nghị của tôi sẽ là sử dụng Clonezilla - một công cụ sao lưu khác như PartImage cũng có thể được sử dụng.

Nếu bạn muốn thực hành điều này - hãy sử dụng một máy khách ảo mà bạn có thể quay lại một ảnh chụp nhanh.

hãy bắt đầu nào

Quy trình bên dưới bảo vệ chỉnh sửa trái phép các cài đặt Grub trong khi khởi động - nghĩa là, nhấn eđể chỉnh sửa cho phép bạn thay đổi các tùy chọn khởi động. Ví dụ, bạn có thể buộc khởi động vào chế độ người dùng và do đó có quyền truy cập vào đĩa cứng của bạn.

Quy trình này nên được sử dụng cùng với mã hóa ổ cứng và tùy chọn khởi động bios an toàn để ngăn khởi động từ cd trực tiếp như được mô tả trong câu trả lời liên quan đến câu hỏi này.

hầu hết mọi thứ bên dưới có thể được sao chép và dán một dòng tại một thời điểm.

Trước tiên, hãy sao lưu các tệp grub mà chúng tôi sẽ chỉnh sửa - mở phiên cuối:

sudo mkdir /etc/grub.d_backup
sudo cp /etc/grub.d/* /etc/grub.d_backup

Cho phép tạo tên người dùng cho grub:

gksudo gedit /etc/grub.d/00_header &

Cuộn xuống dưới cùng, thêm một dòng trống mới và sao chép và dán như sau:

cat << EOF
set superusers="myusername"
password myusername xxxx
password recovery 1234
EOF

Trong ví dụ này hai tên người dùng được tạo ra: myusername và phục hồi

Tiếp theo - điều hướng quay lại thiết bị đầu cuối (không đóng gedit):

Chỉ người dùng Natty và Oneiric

Tạo mật khẩu được mã hóa bằng cách gõ

grub-mkpasswd-pbkdf2

Nhập mật khẩu của bạn, bạn sẽ sử dụng hai lần khi được nhắc

Your PBKDF2 is grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

Một chút chúng ta quan tâm đến việc bắt đầu grub.pbkdf2...và kết thúcBBE2646

Đánh dấu phần này bằng chuột, nhấp chuột phải và sao chép phần này.

Quay trở lại geditứng dụng của bạn - đánh dấu văn bản "xxxx" và thay thế văn bản này bằng nội dung bạn đã sao chép (nhấp chuột phải và dán)

tức là dòng nên

password myusername grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

tất cả các phiên bản 'buntu (sáng suốt trở lên)

Lưu và đóng tập tin.

Cuối cùng, bạn cần phải bảo vệ mật khẩu mỗi mục trình đơn grub (tất cả các file mà có một dòng bắt đầu menuentry ):

cd /etc/grub.d
sudo sed -i -e '/^menuentry /s/ {/ --users myusername {/' *

Điều này sẽ thêm một mục mới --users myusernamecho mỗi dòng.

Chạy update-grub để tạo lại grub của bạn

sudo update-grub

Khi bạn cố gắng chỉnh sửa một mục grub nó sẽ hỏi tên người dùng của bạn tức là myusername và mật khẩu mà bạn sử dụng.

Khởi động lại và kiểm tra tên người dùng và mật khẩu đang được thực thi khi chỉnh sửa tất cả các mục nhập grub.

NB nhớ nhấn SHIFTtrong khi khởi động để hiển thị grub của bạn.

Mật khẩu bảo vệ chế độ phục hồi

Tất cả những điều trên có thể dễ dàng được giải quyết bằng cách sử dụng chế độ phục hồi.

May mắn thay, bạn cũng có thể buộc tên người dùng và mật khẩu sử dụng mục menu chế độ phục hồi. Trong phần đầu tiên của câu trả lời này, chúng tôi tạo một tên người dùng bổ sung gọi là recovery với mật khẩu 1234 . Để sử dụng tên người dùng này, chúng tôi cần chỉnh sửa tệp sau:

gksudo gedit /etc/grub.d/10_linux

thay đổi dòng từ:

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

Đến:

if ${recovery} ; then
   printf "menuentry '${title}' --users recovery ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi 

Khi sử dụng recovery, sử dụng recovery recovery và password 1234

Chạy sudo update-grubđể tạo lại tập tin grub của bạn

Khởi động lại và kiểm tra rằng bạn được yêu cầu làm tên người dùng và mật khẩu khi cố gắng khởi động vào chế độ phục hồi.

Thêm thông tin - http://ubuntuforums.org/showthread.php?t=1369019

Điều quan trọng cần nhớ là nếu ai đó có quyền truy cập vật lý vào máy của bạn, họ sẽ luôn có thể thực hiện mọi việc với PC của bạn. Những việc như khóa vỏ PC và mật khẩu BIOS của bạn sẽ không ngăn người quyết định lấy ổ cứng và dữ liệu của bạn.

Bạn có thể làm cho nó để ngay cả trong trường hợp đặt lại, "resetter" sẽ không thể xem dữ liệu.

Để làm điều này, chỉ cần mã hóa /home.

Nếu bạn muốn làm cho nó để không thể thiết lập lại, cần phải xóa một cái gì đó, chịu trách nhiệm thay đổi mật khẩu.