Come posso impedire a qualcuno di reimpostare la mia password con un Live CD?

55

Recentemente uno dei miei amici è venuto a casa mia, in 15 minuti ha hackerato il mio account utilizzando un Live CD e reimpostato la password di fronte a me. Ero sconcertato nel vedere una cosa del genere. Vi prego di guidarmi per impedire un simile tentativo futuro di utilizzare un Live CD.

security  password  live-cd 
programmatore
fonte
10
Scollegare l'unità disco ottico.
Anonimo il
7
Potrebbe interessarti sapere che è possibile fare la stessa cosa in Windows; quando ho lavorato in IT presso una grande università, avevo un CD con me per consentirmi di farlo se necessario. Nessun computer è veramente sicuro se si può avviare da altri supporti.
Kelley,
4
Una voce vuota sussurrò "crittografia dell'intero disco".
Giosuè,

Risposte:

56

Un modo rapido e semplice per farlo è disabilitare l'avvio da CD e chiavette USB nel BIOS e impostare una password del BIOS.

Secondo questa pagina wiki :

Inserire password o bloccare voci di menu (nei file di configurazione di Grub) non impedisce a un utente di avviarsi manualmente utilizzando i comandi immessi nella riga di comando di grub.

Tuttavia, non c'è nulla che impedisce a qualcuno di rubare il tuo disco rigido e montarlo su un altro computer, o ripristinare il BIOS rimuovendo la batteria o uno degli altri metodi che un utente malintenzionato può utilizzare quando hanno accesso fisico al tuo computer.

Un modo migliore sarebbe di crittografare l'unità, è possibile farlo crittografando la directory principale o crittografando l'intero disco:

Jorge Castro
fonte
2
Ciò non è sufficiente: è necessario disabilitare anche la modalità di ripristino e bloccare GRUB2 in modo che le opzioni di avvio non possano essere specificate (o non possano essere specificate senza immettere una password). Una volta fatto tutto ciò, non solo non si impedisce a qualcuno di rubare il disco rigido, ma qualcuno che apre il computer può disabilitare la password del BIOS e qualcuno che non vuole aprire il computer può presumibilmente semplicemente rubare l'intero computer.
Eliah Kagan,
ma buddy se qualcuno appena preso il mio hard disk aperto / etc / shadow cambiato la mia password criptata e quindi riavviato il home directory cifrata sarà aperto anche per lui
coder
10
@shariq Se qualcuno cambia la tua password in / etc / shadow, la home directory crittografata non si aprirà quando qualcuno accederà con la nuova password. In tal caso, la home directory crittografata dovrebbe essere montata manualmente con la vecchia password e, se nessuno conosceva la vecchia password, avrebbe dovuto essere decifrata, il che sarebbe difficile e in qualche modo probabilmente fallirebbe. Quando crittografate la vostra directory home, cambiando la vostra password modificando / etc / shadow non cambia la password con cui i vostri dati sono crittografati.
Eliah Kagan,
@EliahKagan Non ho informazioni su come farlo, quindi ho citato la pagina wiki, se trovi ulteriori informazioni sentiti libero di modificarlo nella mia risposta.
Jorge Castro,
6
+1 La prima cosa che mi è venuta in mente è stata crittografare la directory home.
Nathan Osman,
50

Mettiti vicino al tuo computer mentre tieni una mazza da baseball. Batti duramente chiunque si avvicini.

O bloccalo.

Se il tuo computer è fisicamente accessibile, non è sicuro.

mdebusk
fonte
18
In che modo questo ci protegge dagli uomini con cani di grossa taglia e mitragliatrici? : D
jrg
3
proteggere il computer con i cani e utilizzare le telecamere di sicurezza per proteggere i cani e nella stanza accanto le pistole di movimento
Canguro
3
+1 per la serietà di questa risposta. Hai fatto davvero un buon lavoro qui e meriti i voti.
RolandiXor
1
+1 per l'ottima risposta e i commenti .. Semplicemente non riuscivo a smettere di ridere ad alta voce !! : D :) @jrg era al suo meglio .. ah ah ah .. :) Bello vedere questo tipo di cose in askubuntu.
Saurav Kumar,
26

Innanzitutto l'avvertimento ...

La procedura di protezione con password di grub2 può essere piuttosto complicata e se sbagli c'è la possibilità di lasciarti con un sistema non avviabile. Pertanto, esegui sempre prima un backup completo dell'immagine del tuo disco rigido. La mia raccomandazione sarebbe di usare Clonezilla - potrebbe essere usato anche un altro strumento di backup come PartImage .

Se vuoi esercitarti, usa un guest della macchina virtuale che puoi ripristinare un'istantanea.

Cominciamo

La procedura seguente protegge la modifica non autorizzata delle impostazioni di Grub durante l'avvio, ovvero premendo eper modificare è possibile modificare le opzioni di avvio. Ad esempio, potresti forzare l'avvio in modalità utente singolo e quindi avere accesso al tuo disco rigido.

Questa procedura deve essere utilizzata in combinazione con la crittografia del disco rigido e un'opzione di avvio di bios sicura per impedire l'avvio da cd live come descritto nella risposta associata a questa domanda.

quasi tutto sotto può essere copiato e incollato una riga alla volta.

Innanzitutto, eseguiamo il backup dei file grub che modificheremo - apri una sessione terminale:

sudo mkdir /etc/grub.d_backup
sudo cp /etc/grub.d/* /etc/grub.d_backup

Consente di creare un nome utente per grub:

gksudo gedit /etc/grub.d/00_header &

Scorri fino in fondo, aggiungi una nuova riga vuota e copia e incolla quanto segue:

cat << EOF
set superusers="myusername"
password myusername xxxx
password recovery 1234
EOF

In questo esempio sono stati creati due nomi utente: myusername e recovery

Successivo: torna al terminale (non chiudere gedit):

Solo utenti Natty e Oneiric

Genera una password crittografata digitando

grub-mkpasswd-pbkdf2

Inserisci la password che utilizzerai due volte quando richiesto

Your PBKDF2 is grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

Il bit a cui siamo interessati inizia grub.pbkdf2...e finisceBBE2646

Evidenzia questa sezione usando il mouse, fai clic con il tasto destro e copia questo.

Torna alla tua geditapplicazione - evidenzia il testo "xxxx" e sostituiscilo con quello che hai copiato (fai clic con il tasto destro e incolla)

cioè la linea dovrebbe apparire come

password myusername grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

tutte le versioni di buntu (lucido e sopra)

Salva e chiudi il file.

Infine, è necessario proteggere con password ogni voce del menu di grub (tutti i file che hanno una riga che inizia l' inserimento di menu ):

cd /etc/grub.d
sudo sed -i -e '/^menuentry /s/ {/ --users myusername {/' *

Ciò aggiungerà una nuova voce --users myusernameper ogni riga.

Esegui update-grub per rigenerare grub

sudo update-grub

Quando si tenta di modificare una voce di grub, verrà richiesto il nome utente, ad esempio il mio nome utente e la password utilizzata.

Riavvia e verifica che nome utente e password vengano applicati durante la modifica di tutte le voci di grub.

NB ricordati di premere SHIFTdurante l'avvio per visualizzare il tuo grub.

Protezione password modalità di recupero

Tutto quanto sopra può essere facilmente risolto utilizzando la modalità di ripristino.

Fortunatamente puoi anche forzare un nome utente e una password per utilizzare la voce di menu della modalità di ripristino. Nella prima parte di questa risposta creiamo un nome utente aggiuntivo chiamato recupero con una password di 1234 . Per utilizzare questo nome utente è necessario modificare il seguente file:

gksudo gedit /etc/grub.d/10_linux

cambia la linea da:

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

Per:

if ${recovery} ; then
   printf "menuentry '${title}' --users recovery ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi

Quando si utilizza il recupero, utilizzare il nome utente di recupero e la password 1234

Esegui sudo update-grubper rigenerare il tuo file grub

Riavvia e verifica che ti venga richiesto come nome utente e password quando tenti di avviare la modalità di ripristino.

Ulteriori informazioni - http://ubuntuforums.org/showthread.php?t=1369019

libertà fossile
fonte
Ciao! Ho seguito il tuo tutorial e funziona ... tranne se scegli altre versioni, dove puoi usare il tasto "E" senza password
gsedej
Raring non ha la linea printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"per il recupero ma una simile all'interno di una funzione if. Potresti consigliarti come modificarlo?
papukaija,
5

È importante ricordare che se qualcuno ha accesso fisico alla tua macchina, sarà sempre in grado di fare cose sul tuo PC. Cose come bloccare la custodia del PC e le password del BIOS non impediranno a una persona determinata di prendere il disco rigido e i dati comunque.

palloncini
fonte
3
In alcune circostanze, queste cose potranno fermare anche una persona determinata dal prendere il disco ed i dati modo più duro. Ad esempio, se si tratta di una macchina per chioschi in un Internet café con una buona sicurezza fisica (telecamere di sicurezza, guardie di sicurezza, proprietario / commessi attenti), una persona determinata potrebbe ancora provare a rubare fisicamente la macchina o il suo disco rigido, ma probabilmente fallire.
Eliah Kagan,
4
Come punto separato, se rubi il disco rigido da una macchina i cui dati sono crittografati, allora dovresti rompere la crittografia per accedere ai dati e con password di buona qualità, farlo potrebbe essere proibitivo in modo proibitivo ... o forse anche impossibile.
Eliah Kagan,
-2

Puoi farlo in modo che anche in caso di ripristino, il "resetter" non sarà in grado di vedere i dati.

Per fare questo, basta crittografare /home.

Se vuoi farlo in modo che il ripristino non sia possibile, qualcosa deve essere rimosso, che è responsabile della modifica della password.

Kangarooo
fonte
L'accesso ai tuoi file personali non è l'unica preoccupazione. Se, per esempio, il tuo account ha dei sudoprivilegi, non è necessario /homeche facciano danni gravi.
Kevin,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.