Come posso impedire a qualcuno di reimpostare la mia password con un Live CD?

53

Recentemente uno dei miei amici è venuto da me, in 15 minuti ha hackerato il mio account usando un Live CD e reimpostato la password di fronte a me. Ero sconcertato nel vedere una cosa del genere. Per favore guidami a prevenire un simile tentativo futuro usando un Live CD.

    
posta coder 08.11.2011 - 04:08

5 risposte

56

Un modo semplice e veloce per farlo è disabilitare l'avvio da CD e chiavette USB nel BIOS e impostare una password BIOS.

Secondo questa pagina wiki :

  

L'inserimento di password o blocchi di voci di menu (nei file di configurazione di Grub) non impedisce a un utente di avviarsi manualmente utilizzando i comandi immessi nella riga di comando di grub.

Tuttavia non c'è nulla che impedisca a qualcuno di rubare il tuo disco rigido e montarlo su un'altra macchina, o resettare il BIOS rimuovendo la batteria, o uno degli altri metodi che un utente malintenzionato può utilizzare quando ha accesso fisico alla tua macchina.

Un modo migliore sarebbe quello di crittografare l'unità, puoi farlo crittografando la tua home directory, o crittografando l'intero disco:

risposta data Jorge Castro 08.11.2011 - 04:11
49

Stai in piedi accanto al tuo computer mentre tieni in mano una mazza da baseball. Batti gravemente chiunque si avvicini.

O bloccalo.

Se il tuo computer è fisicamente accessibile, non è sicuro.

    
risposta data mdebusk 10.11.2011 - 19:02
26

Prima l'avvertimento ...

La procedura di protezione della password di grub2 può essere abbastanza complicata e se si sbagliano c'è la possibilità di abbandonare se stessi con un sistema non avviabile. Pertanto sempre fai prima un backup completo dell'immagine del tuo disco rigido. La mia raccomandazione sarebbe quella di utilizzare Clonezilla - un altro strumento di backup come PartImage potrebbe anche essere utilizzato.

Se vuoi esercitarti, usa un guest della macchina virtuale che puoi eseguire il rollback di un'istantanea.

iniziamo

La procedura seguente protegge le modifiche non autorizzate delle impostazioni di Grub durante l'avvio, ovvero premendo e per modificare è possibile modificare le opzioni di avvio. Ad esempio, è possibile forzare l'avvio in modalità utente singolo e quindi accedere al disco rigido.

Questa procedura deve essere utilizzata in combinazione con la crittografia del disco rigido e un'opzione di avvio del BIOS sicura per impedire l'avvio dal CD live come descritto nella risposta associata a questa domanda.

quasi tutto sotto può essere copiato e incollato una riga alla volta.

Per prima cosa consente di eseguire il backup dei file di grub che modificheremo - apri una sessione di terminale:

sudo mkdir /etc/grub.d_backup
sudo cp /etc/grub.d/* /etc/grub.d_backup

Consente di creare un nome utente per grub:

gksudo gedit /etc/grub.d/00_header &

Scorri fino in fondo, aggiungi una nuova riga vuota e copia e incolla quanto segue:

cat << EOF
set superusers="myusername"
password myusername xxxx
password recovery 1234
EOF

In questo esempio sono stati creati due nomi utente: nomeutente e recupero

Avanti - torna al terminale (non chiudere gedit ):

Solo utenti Natty e Oneiric

Genera una password crittografata digitando

grub-mkpasswd-pbkdf2

Inserisci la password che verrà utilizzata due volte quando richiesto

Your PBKDF2 is grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

Il bit a cui siamo interessati inizia grub.pbkdf2... e termina BBE2646

Evidenzia questa sezione con il mouse, fai clic con il pulsante destro del mouse e copia questo.

Ritorna alla tua applicazione gedit - evidenzia il testo "xxxx" e sostituiscilo con ciò che hai copiato (tasto destro del mouse e incolla)

vale a dire. la linea dovrebbe apparire come

password myusername grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

tutte le versioni di "buntu (lucido e superiore)

Salva e chiudi il file.

Infine devi proteggere con password ciascuna voce di menu di Grub (tutti i file che hanno una riga che inizia menuentry ):

cd /etc/grub.d
sudo sed -i -e '/^menuentry /s/ {/ --users myusername {/' *

Questo aggiungerà una nuova voce --users myusername a ciascuna linea.

Esegui update-grub per rigenerare il tuo grub

sudo update-grub

Quando provi a modificare una voce di grub, ti chiederà il tuo nome utente, cioè myusername e la password che hai usato.

Riavvia e verifica che nome utente e password vengano applicati durante la modifica di tutte le voci di grub.

NB. ricorda di premere SHIFT durante l'avvio per visualizzare il tuo grub.

Protezione tramite password della modalità di ripristino

Tutti i precedenti possono essere facilmente risolti utilizzando la modalità di ripristino.

Fortunatamente è anche possibile forzare un nome utente e una password per utilizzare la voce del menu di ripristino. Nella prima parte di questa risposta creiamo un nome utente aggiuntivo chiamato ripristino con una password di 1234 . Per utilizzare questo nome utente è necessario modificare il seguente file:

gksudo gedit /etc/grub.d/10_linux

cambia la linea da:

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

A:

if ${recovery} ; then
   printf "menuentry '${title}' --users recovery ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi 

Quando utilizzi il recupero usa il nome utente ripristino e la password 1234

Esegui sudo update-grub per rigenerare il tuo file grub

Riavvia e verifica che ti venga richiesto come nome utente e password quando provi ad avviare la modalità di ripristino.

Ulteriori informazioni - link

    
risposta data fossfreedom 10.11.2011 - 22:24
5

È importante ricordare che se qualcuno ha accesso fisico alla tua macchina, sarà sempre in grado di fare cose sul tuo PC. Cose come bloccare il case del PC e le password del BIOS non impediranno a una determinata persona di prendere comunque il tuo disco rigido e i tuoi dati.

    
risposta data balloons 11.11.2011 - 18:42
-2

Puoi farlo in modo che anche in caso di ripristino, il "resetter" non sarà in grado di vedere i dati.

Per fare ciò, basta crittografare /home .

Se vuoi fare in modo che il ripristino non sia possibile, qualcosa deve essere rimosso, che è responsabile della modifica della password.

    
risposta data Kangarooo 10.11.2011 - 23:52

Leggi altre domande sui tag