Как обезопасить режим восстановления grub

14

Когда я загружаю систему в режиме восстановления из меню GRUB, я могу войти в любой мощный корень без ввода пароля, что небезопасно.

Как я могу защитить это и гарантировать, что пароль запрашивается каждый раз, когда я пытаюсь получить доступ к root в режиме восстановления?

security grub2 Jamess
источник
Вам нужно больше разъяснений?
Эрик Йоханссон
Может кто-нибудь уточнить, пожалуйста, как это сделать в 14.04 LTS? Я попробовал это, следуя инструкциям на help.ubuntu.com/community/Grub2/Passwords#Password_Encryption, чтобы пароль не хранился в виде обычного текста и вообще не смог загрузить машину - он не распознает пароль. Кроме того, я не хочу защищать паролем ВСЕ загрузки, только восстановление. Да, я знаю, что это не совсем безопасно, но у меня есть требование, вынесенное сверху для восстановления паролем.
бетсейб

Ответы:

9

На форумах Ubuntu есть сообщение о защите записей с помощью пароля , в основном, чтобы пункты меню восстановления требовали, чтобы вы входили в систему как супермен с паролем 1234, вам нужно отредактировать некоторые очень сложные файлы конфигурации / скриптов:

Добавить в /etc/grub.d/00_header

cat << EOF
set superusers="superman"
password superman 1234
password bill 5678
EOF

Изменить /etc/grub.d/10_linux

Из: 

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

Для того, чтобы:

if ${recovery} ; then
   printf "menuentry '${title}' --users superman ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi

Совершенствовать защиту очень трудно

Другие вещи, которые вам нужно сделать, это защитить паролем вашу биос, отключить загрузку с чего-либо другого, кроме основного жесткого диска, и зашифровать ваш корневой раздел и смонтировать любой другой раздел как noexec. Это все еще оставляет много векторов.

Эрик Йоханссон
источник
Это выглядит многообещающе. Будет проверять это.
Jamess
Я не могу найти эту строку, что так всегда @Ron
Рэндол Альберт
2

Единственный надежный способ защитить систему от злоумышленника, имеющего физический доступ к компьютеру, - это шифрование всего диска.

Адам Быртек
источник
Или блокировка BIOS
Рувим Шварц
1
Сброс пароля BIOS тривиален, если у вас есть доступ к оборудованию. Однако диск, зашифрованный хорошей парольной фразой (невосприимчивой к атаке по словарю), будет оставаться безопасным, пока AES безопасен.
Адам Быртек
Не очень легко, потому что вам часто понадобятся инструменты и другой компьютер для этого.
Эрик Йоханссон
Все зависит от модели угрозы.
Адам Быртек
0

Вы не можете защитить свои данные, если они не зашифрованы, но вы можете защитить rootпользователя. Когда кто-либо пытается получить доступ к вашему диску через него recovery mode, ему / ей нужен пароль.

установить пароль root

sudo passwd root #set new password for user named root

проверить доступ root

su
Шантану
источник