Bagaimana cara mengamankan mode pemulihan grub

14

Ketika saya mem-boot sistem ke mode pemulihan dari menu GRUB, saya bisa masuk ke semua root yang kuat tanpa memasukkan kata sandi apa pun, sehingga tidak aman.

Bagaimana saya bisa mengamankan ini dan memastikan bahwa kata sandi ditanyakan setiap kali saya mencoba mengakses root dalam mode pemulihan?

security grub2 Jamess
sumber
Apakah Anda perlu klarifikasi lagi?
Erik Johansson
Adakah yang bisa menjelaskan bagaimana cara melakukannya dalam 14,04 LTS? Saya mencobanya, mengikuti petunjuk di help.ubuntu.com/community/Grub2/Passwords#Password_Encryption sehingga kata sandi tidak disimpan dalam teks biasa, dan tidak dapat mem-boot mesin sama sekali - ia tidak akan mengenali kata sandi. Juga, saya tidak ingin kata sandi melindungi SEMUA booting, hanya pemulihan. Ya, saya tahu itu tidak sepenuhnya aman, tetapi saya memiliki persyaratan yang diturunkan dari atas untuk pemulihan proteksi kata sandi.
betseyb

Jawaban:

9

Ada posting di forum Ubuntu tentang melindungi entri dengan kata sandi , pada dasarnya untuk membuat item menu pemulihan mengharuskan Anda untuk masuk sebagai superman dengan kata sandi 1234 Anda perlu mengedit beberapa file konfigurasi / skrip yang sangat berbulu:

Tambahkan ke /etc/grub.d/00_header

cat << EOF
set superusers="superman"
password superman 1234
password bill 5678
EOF

Ubah /etc/grub.d/10_linux

Dari: 

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

Untuk:

if ${recovery} ; then
   printf "menuentry '${title}' --users superman ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi

Perlindungan yang sempurna sangat sulit

Hal lain yang perlu Anda lakukan adalah melindungi kata sandi bios Anda, menonaktifkan boot dari apa pun selain hard drive primer, dan mengenkripsi partisi root Anda dan me-mount partisi lain sebagai noexec. Ini masih menyisakan banyak vektor.

Erik Johansson
sumber
Itu terlihat menjanjikan. Akan memeriksa itu.
Jamess
Saya tidak dapat menemukan garis itu, jadi @Ron
Randol Albert,
2

Satu-satunya cara yang dapat diandalkan untuk melindungi sistem dari penyerang yang memiliki akses fisik ke mesin adalah enkripsi disk penuh.

Adam Byrtek
sumber
Atau mengunci BIOS
Reuben Swartz
1
Sepele untuk mengatur ulang kata sandi BIOS setelah Anda memiliki akses ke perangkat keras. Namun, disk yang dienkripsi dengan frasa sandi yang baik (kebal terhadap serangan kamus) akan tetap aman selama AES aman.
Adam Byrtek
Tidak terlalu mudah karena Anda akan sering memerlukan alat dan komputer lain untuk melakukannya.
Erik Johansson
Itu semua tergantung pada model ancaman.
Adam Byrtek
0

Anda tidak dapat melindungi data Anda jika tidak dienkripsi, tetapi Anda dapat melindungi rootpengguna. Ketika seseorang mencoba mengakses disk Anda melalui recovery mode, ia membutuhkan kata sandi.

atur kata sandi root

sudo passwd root #set new password for user named root

uji akses root

su
shantanu
sumber