Как я могу помешать кому-либо сбросить мой пароль с Live CD?

Недавно один из моих друзей подошел к моему месту, в течение 15 минут он взломал мою учетную запись с помощью Live CD и сбросил пароль передо мной. Я был озадачен, увидев такое. Пожалуйста, направляйте меня, чтобы предотвратить такую ​​попытку в будущем с использованием Live CD.

Быстрый и простой способ сделать это – отключить загрузку с компакт-дисков и USB-накопителей в BIOS и установить пароль BIOS.

Согласно этой вики-странице :

Размещение паролей или пунктов меню блокировки (в файлах конфигурации Grub) не позволяет пользователю загружаться вручную, используя команды, введенные в командной строке grub.

Однако ничто не мешает кому-то просто украсть ваш жесткий диск, установить его на другую машину или сбросить BIOS, удалив батарею или один из других методов, которые злоумышленник может использовать, когда у них есть физический доступ к вашей машине.

Лучше всего было бы зашифровать ваш диск, вы можете сделать это, зашифровав свой домашний каталог или зашифровав весь диск:

Подстаньте рядом с компьютером, держа в руках мячи. Серьезно избивать любого, кто приближается.

Или запереть его.

Если ваш компьютер физически доступен, он небезопасен.

Сначала предупреждение …

Процедура защиты паролем grub2 может быть довольно сложной, и если вы ошибаетесь, есть возможность оставить себя с не загружаемой системой. Таким образом, сначала сделайте полную резервную копию вашего жесткого диска. Моя рекомендация будет заключаться в использовании Clonezilla – также может быть использован другой инструмент резервного копирования, такой как PartImage .

Если вы хотите практиковать это – используйте гость виртуальной машины, который вы можете отменить снимок.

давай начнем

Приведенная ниже процедура защищает несанкционированное редактирование настроек Grub во время загрузки – то есть нажатие e для редактирования позволяет вам изменить параметры загрузки. Например, вы можете принудительно загрузиться в один пользовательский режим и, таким образом, получить доступ к вашему жесткому диску.

Эта процедура должна использоваться в сочетании с шифрованием на жестком диске и безопасным способом загрузки BIOS, чтобы предотвратить загрузку с live cd, как описано в соответствующем ответе на этот вопрос.

почти все ниже может быть скопировано и вставлено по одной строке за раз.

Сначала давайте резервную копию файлов grub, которые мы будем редактировать, – откройте сеанс терминала:

sudo mkdir /etc/grub.d_backup sudo cp /etc/grub.d/* /etc/grub.d_backup 

Позволяет создать имя пользователя для grub:

 gksudo gedit /etc/grub.d/00_header & 

Прокрутите страницу вниз, добавьте новую пустую строку и скопируйте и вставьте следующее:

 cat << EOF set superusers="myusername" password myusername xxxx password recovery 1234 EOF 

В этом примере были созданы два имени пользователя: myusername и восстановление

Далее – вернуться к терминалу (не закрывать gedit ):

Только пользователи Natty и Oneiric

Создайте зашифрованный пароль, набрав

 grub-mkpasswd-pbkdf2 

Введите пароль, который вы будете использовать дважды, когда будет предложено

 Your PBKDF2 is grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646 

Бит, который нас интересует, запускает grub.pbkdf2... и заканчивается BBE2646

Выделите этот раздел мышью, щелкните правой кнопкой мыши и скопируйте это.

Вернитесь в приложение gedit – выделите текст «xxxx» и замените его на то, что вы скопировали (щелкните правой кнопкой мыши и вставьте)

т.е. линия должна выглядеть так:

 password myusername grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646 

все «версии buntu (ясные и выше)

Сохраните и закройте файл.

Наконец, вам необходимо защитить паролем каждую запись в меню grub (все файлы, у которых есть строка, начинающаяся menuentry ):

 cd /etc/grub.d sudo sed -i -e '/^menuentry /s/ {/ --users myusername {/' * 

Это добавит новую запись --users myusername в каждую строку.

Запустите update-grub, чтобы восстановить ваш grub

 sudo update-grub 

Когда вы попытаетесь отредактировать запись grub, она попросит ваше имя пользователя, то есть имя пользователя и пароль, который вы использовали.

Перезагрузите и проверьте, что имя пользователя и пароль применяются при редактировании всех записей grub.

NB не забудьте нажать SHIFT во время загрузки, чтобы отобразить вашу личинку.

Защита паролем режима восстановления

Все это можно легко обойти, используя режим восстановления.

К счастью, вы также можете заставить имя пользователя и пароль использовать запись меню режима восстановления. В первой части этого ответа мы создаем дополнительное имя пользователя с именем recovery с паролем 1234 . Чтобы использовать это имя пользователя, нам необходимо отредактировать следующий файл:

 gksudo gedit /etc/grub.d/10_linux 

измените строку:

 printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}" 

Для того, чтобы:

 if ${recovery} ; then printf "menuentry '${title}' --users recovery ${CLASS} {\n" "${os}" "${version}" else printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}" fi 

При использовании восстановления используйте восстановление имени пользователя и пароль 1234

Запустите sudo update-grub чтобы восстановить файл grub

Перезагрузите и проверьте, что вас попросят указать имя пользователя и пароль при попытке загрузки в режим восстановления.


Дополнительная информация – http://ubuntuforums.org/showthread.php?t=1369019

Важно помнить, что если у кого-то есть физический доступ к вашей машине, они всегда смогут делать что-то на вашем ПК. Такие вещи, как блокировка флеш-памяти вашего ПК и паролей BIOS, не заставят определенного человека взять ваш жесткий диск и данные в любом случае.

Вы можете сделать это так, чтобы даже в случае сброса, «сброс» не сможет видеть данные.

Для этого просто зашифруйте /home .

Если вы хотите сделать это так, чтобы сброс был невозможно, что-то нужно удалить, что отвечает за изменение пароля.