Frage So sichern Sie den grub-Wiederherstellungsmodus


Wenn ich das System vom GRUB-Menü aus in den Wiederherstellungsmodus boote, kann ich ohne Eingabe eines Passworts in alle mächtigen root eindringen, also unsicher.

Wie kann ich dies sicherstellen und sicherstellen, dass jedes Mal, wenn ich im Wiederherstellungsmodus auf root zugreife, ein Passwort abgefragt wird?


13
2018-03-23 07:21


Ursprung


Brauchen Sie mehr Klärungen? - Erik Johansson
Kann jemand bitte erklären, wie man das in 14.04 LTS macht? Ich habe es versucht, den Anweisungen an folgen help.ubuntu.com/community/Grub2/Passwords#Password_Encryption Das Passwort wurde nicht im Klartext gespeichert und konnte den Computer überhaupt nicht starten. Das Passwort wurde nicht erkannt. Außerdem möchte ich nicht das gesamte Booten mit Passwort schützen, sondern nur die Wiederherstellung. Ja, ich weiß, dass es nicht vollkommen sicher ist, aber ich habe eine Anforderung von oben, um die Wiederherstellung mit einem Passwort zu schützen. - betseyb


Antworten:


Es gibt einen Post auf Ubuntu-Foren zum Schutz von Einträgen mit Passwortim Grunde, um die Wiederherstellungsmenüpunkte benötigen Sie als Login zu machen Übermensch mit Passwort 1234 Sie müssen einige sehr haarige Config / Script-Dateien bearbeiten:

Fügen Sie zu /etc/grub.d/00_header hinzu

cat << EOF
set superusers="superman"
password superman 1234
password bill 5678
EOF 

Ändern Sie /etc/grub.d/10_linux

Von:

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

Zu:

if ${recovery} ; then
   printf "menuentry '${title}' --users superman ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi 

Perfektionierungsschutz ist zutiefst schwierig

Andere Dinge, die Sie tun müssen, ist, Ihr BIOS zu schützen, deaktivieren Sie Booten von etwas anderem als primäre Festplatte, und verschlüsseln Sie Ihre Root-Partition und mounten Sie jede andere Partition als noexec. Dies hinterlässt immer noch viele Vektoren.


8
2018-03-23 10:19



Das sieht vielversprechend aus. Werde das überprüfen. - Jamess
Ich kann diese Zeile nicht finden, was auch immer @Ron - Randol Albert


Die einzige zuverlässige Möglichkeit, das System vor einem Angreifer zu schützen, der physischen Zugriff auf die Maschine hat, ist die vollständige Festplattenverschlüsselung.


2
2018-03-23 10:14



Oder das BIOS sperren - Reuben Swartz
Es ist trivial, das BIOS-Passwort zurückzusetzen, sobald Sie Zugriff auf die Hardware haben. Ein Datenträger, der mit einer guten Passphrase (immun gegen einen Wörterbuchangriff) verschlüsselt ist, bleibt jedoch so lange sicher, wie AES sicher ist. - Adam Byrtek
Nicht wirklich einfach, weil Sie oft Werkzeuge und einen anderen Computer benötigen, um es zu tun. - Erik Johansson
Alles hängt von einem Bedrohungsmodell ab. - Adam Byrtek


Sie können Ihre Daten nicht schützen, wenn sie nicht verschlüsselt sind, aber Sie können sie schützen root Benutzer. Wenn jemand versucht, über recovery modeSie braucht ein Passwort.

root Passwort setzen

sudo passwd root #set new password for user named root

Testen Sie den Root-Zugriff

su

0
2018-06-07 09:51