Come proteggere la modalità di recupero di grub

14

Quando avvio il sistema in modalità di ripristino dal menu di GRUB, posso accedere a tutti i root potenti senza inserire alcuna password, quindi insicuro.

Come posso proteggerlo e garantire che venga richiesta una password ogni volta che tento di accedere a root in modalità di ripristino?

security  grub2 
jamess
fonte
Hai bisogno di ulteriori chiarimenti?
Erik Johansson,
Qualcuno può chiarire come fare in 14.04 LTS? L'ho provato, seguendo le istruzioni su help.ubuntu.com/community/Grub2/Passwords#Password_Encryption, quindi la password non è stata memorizzata in testo normale e non è stata in grado di avviare la macchina, non riconosceva la password. Inoltre, non voglio proteggere con password TUTTO l'avvio, solo il ripristino. Sì, so che non è del tutto sicuro, ma ho un requisito tramandato dall'alto per proteggere con password il recupero.
Betseyb,

Risposte:

9

C'è un post sui forum di Ubuntu sulla protezione delle voci tramite password , in sostanza per rendere i menu di ripristino che richiedono il login come superman con password 1234 è necessario modificare alcuni file di configurazione / script molto pelosi:

Aggiungi a /etc/grub.d/00_header

cat << EOF
set superusers="superman"
password superman 1234
password bill 5678
EOF

Cambia /etc/grub.d/10_linux

A partire dal: 

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

Per:

if ${recovery} ; then
   printf "menuentry '${title}' --users superman ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi

La protezione del perfezionamento è profondamente dura

Altre cose che devi fare è proteggere con password il tuo BIOS, disabilitare l'avvio da qualsiasi altra cosa che il disco rigido primario e crittografare la partizione di root e montare qualsiasi altra partizione come noexec. Questo lascia ancora molti vettori.

Erik Johansson
fonte
Sembra promettente. Lo verificherò.
Jamess,
Non riesco a trovare quella linea così mai @Ron
Randol Albert il
2

L'unico modo affidabile per proteggere il sistema da un utente malintenzionato che ha accesso fisico alla macchina è la crittografia dell'intero disco.

Adam Byrtek
fonte
O bloccando il BIOS
Reuben Swartz
1
È banale ripristinare la password del BIOS una volta che si ha accesso all'hardware. Tuttavia, un disco crittografato con una buona passphrase (immune da un attacco del dizionario) rimarrà sicuro finché AES è protetto.
Adam Byrtek,
Non è davvero facile perché spesso avrai bisogno di strumenti e un altro computer per farlo.
Erik Johansson,
Tutto dipende da un modello di minaccia.
Adam Byrtek,
0

Non puoi proteggere i tuoi dati se non sono crittografati, ma puoi proteggere l' rootutente. Quando qualcuno tenta di accedere al tuo disco tramite recovery mode, ha bisogno di una password.

imposta la password di root

sudo passwd root #set new password for user named root

testare l'accesso root

su
Shantanu
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.