Saya mengacaukan sistem saya sebelumnya, saya disambut dengan layar hitam, ketika boot ke Ubuntu. Ketika saya memulai laptop saya, saya memilih opsi pemulihan dari menu grub, dan memilih mundur di terminal root . Saya melihat bahwa saya dapat menggunakan perintah add user, dengan itu, saya mungkin dapat menggunakan untuk membuat pengguna istimewa di komputer saya.
Bukankah itu masalah keamanan?
Seseorang bisa saja mencuri laptop saya dan pada saat startup memilih pemulihan dan menambahkan pengguna lain, saya fudged kemudian. Termasuk data saya.
Kalau dipikir-pikir, bahkan jika Anda entah bagaimana menghapus entri itu, seseorang dapat boot dari live-CD, chroot
bangun dan jalankan dan kemudian tambahkan pengguna lain, dengan hak istimewa yang memungkinkannya untuk melihat semua data saya.
Jika saya mengatur BIOS untuk boot pada HD saya saja, tidak ada USB, CD / DVD, startup Jaringan, dan mengatur kata sandi BIOS, itu masih tidak masalah, karena Anda masih memiliki entri startup pemulihan grub.
Saya cukup yakin bahwa seseorang dari China, Rusia tidak dapat meretas Ubuntu Trusty Tahr saya, dari jaringan, karena aman seperti itu. Tetapi, jika seseorang memiliki akses fisik ke mesin Anda, maka, itulah sebabnya saya mengajukan pertanyaan ini. Bagaimana saya bisa mengamankan mesin saya sehingga tidak mungkin meretas melalui akses fisik?
Laporan Bug:
sumber
fred:x:0:0:fred,,,:/home/fred:/bin/bash
dan sekarang jika saya login sebagai fred dan menjalankanwhoami
, saya dapatroot
adduser
dll. Tidak akan membiarkan Anda melakukan hal itu biasanya, tetapi hanya mengedit/etc/passwd
berfungsi. Menjadi seorang hacker berarti mengabaikan apa yang harus Anda lakukan;)Jawaban:
Dugaan saya adalah bahwa hanya enkripsi disk lengkap menggunakan algoritma yang kuat dan, yang paling penting, kata sandi yang baik adalah satu-satunya hal yang dapat mengamankan data yang disimpan secara lokal Anda. Ini memberi Anda keamanan 99,99% mungkin. Silakan merujuk ke salah satu dari banyak panduan tentang cara melakukan ini.
Selain itu, TIDAK mungkin untuk mengamankan mesin Anda dari peretas berpengalaman dengan akses fisik.
Kata sandi pengguna / akun:
Sangat mudah untuk membuat pengguna admin baru jika Anda boot ke mode pemulihan, seperti yang Anda gambarkan sendiri, karena Anda mendapatkan shell root tanpa diminta kata sandi dengan cara ini.
Itu mungkin terlihat seperti masalah keamanan yang tidak disengaja, tetapi ditujukan untuk (siapa yang mengira itu?) Kasus pemulihan, di mana Anda misalnya kehilangan kata sandi admin Anda atau mengacaukan
sudo
perintah atau hal-hal penting lainnya.kata sandi root:
Ubuntu belum menetapkan kata sandi pengguna root apa pun secara default. Namun, Anda dapat mengatur satu dan akan diminta untuk itu jika Anda boot dalam mode pemulihan. Ini tampaknya cukup aman, tetapi masih belum ada solusi yang akhirnya aman. Anda masih dapat menambahkan parameter kernel
single init=/bin/bash
melalui GRUB sebelum mem-boot Ubuntu yang memulainya dalam mode pengguna tunggal - yang sebenarnya merupakan shell root tanpa kata sandi juga.Mengamankan menu GRUB dengan kata sandi:
Anda dapat mengamankan entri menu GRUB Anda hanya dapat diakses setelah otentikasi, yaitu Anda dapat menolak mem-booting mode pemulihan tanpa kata sandi. Ini juga mencegah dari memanipulasi parameter kernel. Untuk informasi lebih lanjut, lihat situs Grub2 / Kata Sandi di help.ubuntu.com . Ini hanya dapat dilewati jika Anda mem-boot dari media eksternal atau menghubungkan HDD ke komputer lain secara langsung.
Nonaktifkan booting dari media eksternal di BIOS:
Anda dapat mengatur urutan boot dan biasanya mengecualikan perangkat dari boot di banyak versi BIOS / UEFI saat ini. Pengaturan tersebut tidak diamankan, karena semua orang dapat masuk ke menu pengaturan. Anda harus menetapkan kata sandi di sini juga, tetapi ...
Kata sandi BIOS:
Anda biasanya dapat mem-bypass kata sandi BIOS juga. Ada beberapa metode:
Terima kasih kepada Rinzwind untuk informasi dan tautan ini!
Kunci kasing komputer / tolak akses fisik ke motherboard dan hard disk:
Sekalipun semuanya gagal, pencuri data masih dapat membuka laptop / komputer Anda, keluarkan HDD dan sambungkan ke komputernya sendiri. Memasangnya dan mengakses semua file yang tidak dienkripsi adalah sepotong kue darinya. Anda harus memasukkannya ke dalam case yang terkunci dengan aman di mana Anda dapat memastikan tidak ada yang dapat membuka komputer. Namun ini tidak mungkin untuk laptop dan sulit untuk desktop. Mungkin Anda bisa berpikir memiliki film aksi seperti alat penghancur diri yang meledakkan beberapa bahan peledak di dalam diri seseorang jika seseorang mencoba membukanya? ;-) Tetapi pastikan Anda tidak perlu membukanya sendiri untuk pemeliharaan!
Enkripsi disk lengkap:
Saya tahu saya menyarankan metode ini sebagai aman, tetapi juga tidak 100% aman jika Anda kehilangan laptop saat sedang aktif. Ada yang disebut "serangan boot dingin" yang memungkinkan penyerang untuk membaca kunci enkripsi dari RAM Anda setelah mengatur ulang mesin yang sedang berjalan. Ini membongkar sistem, tetapi tidak menyiram isi RAM saat itu tanpa daya cukup singkat.
Terima kasih kepada kos atas komentarnya tentang serangan ini!
Saya juga akan mengutip komentar keduanya di sini:
Terkait, tetapi masih belum terjawab pertanyaan tentang cara mencegah Serangan Boot Dingin: Bagaimana cara mengaktifkan Ubuntu (menggunakan enkripsi disk penuh) untuk memanggil LUKSupend sebelum tidur / menangguhkan ke RAM?
Untuk menyimpulkan: Saat ini tidak ada yang benar-benar melindungi laptop Anda dari digunakan oleh seseorang dengan akses fisik dan niat jahat. Anda hanya dapat mengenkripsi semua data Anda sepenuhnya jika Anda cukup paranoid sehingga berisiko kehilangan segalanya dengan melupakan kata sandi atau kerusakan. Jadi enkripsi membuat backup lebih penting daripada yang sudah ada. Namun, mereka kemudian harus dienkripsi juga dan terletak di tempat yang sangat aman.
Atau jangan memberikan laptop Anda dan berharap Anda tidak akan pernah kehilangannya. ;-)
Jika Anda tidak terlalu peduli dengan data Anda tetapi lebih pada perangkat keras Anda, Anda mungkin ingin membeli dan menginstal pengirim GPS ke kasing Anda, tetapi itu hanya untuk orang-orang paranoid atau agen federal yang sebenarnya.
sumber
Laptop paling aman adalah laptop tanpa data apa pun. Anda dapat mengatur lingkungan cloud pribadi Anda dan kemudian tidak menyimpan sesuatu yang penting secara lokal.
Atau keluarkan hard drive dan lelehkannya dengan termit. Meskipun ini secara teknis menjawab pertanyaan, itu mungkin bukan yang paling praktis karena Anda tidak akan dapat menggunakan laptop Anda lagi. Tapi juga para peretas yang tidak pernah kabur.
Jika tidak ada opsi itu, enkripsi dua hard drive tersebut dan minta USB thumbdrive untuk dicolokkan untuk mendekripsinya. USB thumbdrive berisi satu set kunci dekripsi dan BIOS berisi set-kata sandi lain yang dilindungi, tentu saja. Gabungkan dengan data penghancuran otomatis data otomatis jika USB thumbdrive tidak dicolokkan saat boot / melanjutkan dari penangguhan. Bawa USB thumbdrive pada orang Anda setiap saat. Kombinasi ini juga terjadi untuk menangani XKCD # 538 .
sumber
Enkripsi disk Anda. Dengan cara ini sistem dan data Anda akan aman jika laptop Anda dicuri. Jika tidak:
Saya akan merekomendasikan Anda untuk memiliki partisi LUKS di mana Anda dapat mengatur LVM. Anda dapat membiarkan partisi boot tidak terenkripsi sehingga Anda hanya perlu memasukkan kata sandi sekali saja. Ini berarti sistem Anda dapat lebih mudah dikompromikan jika dirusak (dicuri dan dikembalikan kepada Anda tanpa Anda sadari), tetapi ini adalah kasus yang sangat langka dan, kecuali Anda berpikir Anda sedang diikuti oleh NSA, pemerintah atau semacam mafia, kamu tidak perlu khawatir tentang ini.
Pemasang Ubuntu Anda akan memberi Anda pilihan untuk menginstal dengan LUKS + LVM dengan cara yang sangat mudah dan otomatis. Saya tidak memposting ulang detailnya di sini, karena sudah ada banyak dokumentasi di internet. :-)
sumber
/home/yourName
- seperti yang seharusnya! - kemudian susun folder ini dengan driver enkripsi tingkat file (seperti yang saya sebutkan di OP dan tidak akan spam lagi), alternatif yang sangat layak. Saya tidak khawatir tentang orang-orang melihat semua hal yang membosankan/usr
, dll./home
(termasuk data pribadi dan profesional di partisi lain), jadi lebih mudah bagi saya untuk mengenkripsi semuanya, tapi saya kira setiap pengguna memiliki kebutuhan mereka sendiri :-). Namun, menggunakanecryptfs
bukanlah keputusan terbaik berdasarkan kinerja. Anda dapat menemukan beberapa tolok ukur di sini . Pastikan untuk membaca halaman2-5
dalam artikel untuk hasil aktual (halaman1
hanyalah pengantar)./var/log
,/var/www
(sumber), &/tmp
, jadi mungkin enkripsi disk penuh akan mulai tampak lebih masuk akal!/etc
dan direktori tingkat atas lainnya ... Pada akhirnya enkripsi cakram penuh adalah solusi sederhana dan cepat yang akan membuat Anda tidur seperti bayi setiap malam. ^^Ada beberapa solusi perangkat keras yang perlu diperhatikan.
Pertama, beberapa laptop, seperti beberapa laptop bisnis Lenovo dilengkapi dengan sakelar pendeteksi tamper yang mendeteksi ketika kasing dibuka. Di Lenovo, fitur ini perlu diaktifkan di BIOS dan kata sandi admin perlu diatur. Jika tamper terdeteksi, laptop akan (saya percaya) segera dimatikan, saat startup akan menampilkan peringatan dan memerlukan kata sandi admin dan adaptor AC yang tepat untuk melanjutkan. Beberapa detektor kerusakan juga akan membunyikan alarm yang dapat didengar, dan dapat dikonfigurasikan untuk mengirim email.
Deteksi tamper tidak benar-benar mencegah gangguan (tetapi mungkin membuat lebih sulit untuk mencuri data dari RAM - dan deteksi tamper dapat "merusak" perangkat jika mendeteksi sesuatu yang sangat cerdik seperti mencoba mengeluarkan baterai CMOS). Keuntungan utama adalah bahwa seseorang tidak dapat secara diam-diam mengutak-atik perangkat keras tanpa Anda sadari - jika Anda telah menyiapkan keamanan perangkat lunak yang kuat seperti enkripsi disk penuh maka merusak secara diam-diam dengan perangkat keras jelas merupakan salah satu vektor serangan yang tersisa.
Keamanan fisik lainnya adalah beberapa laptop dapat dikunci ke dok. Jika dock terpasang dengan aman ke sebuah meja (melalui sekrup yang akan berada di bawah laptop) dan laptop tetap terkunci ke dock saat tidak digunakan, maka dock memberikan lapisan tambahan perlindungan fisik. Tentu saja ini tidak akan menghentikan pencuri yang gigih tetapi pasti membuat lebih sulit untuk mencuri laptop dari rumah atau bisnis Anda, dan saat dikunci masih dapat digunakan dengan sempurna (dan Anda dapat mencolokkan periferal, ethernet, dan sebagainya ke dermaga).
Tentu saja, fitur fisik ini tidak berguna untuk mengamankan laptop yang tidak memilikinya. Tetapi jika Anda sadar akan keamanan mungkin ada baiknya mempertimbangkan mereka saat membeli laptop.
sumber
Selain itu untuk mengenkripsi disk Anda (Anda tidak akan bisa melakukannya): - SELinux dan TRESOR. Keduanya mengeraskan kernel Linux dan berusaha mempersulit penyerang untuk membaca berbagai hal dari memori.
Sementara Anda berada di dalamnya: Kami sekarang memasuki wilayah tidak hanya takut orang-orang jahat yang jahat ingin info kartu debit Anda (mereka tidak melakukan itu) tetapi sering cukup agen intelijen. Dalam hal ini Anda ingin melakukan lebih banyak:
Ada banyak hal lain yang dapat Anda lakukan tetapi itu harus memberikan jumlah yang wajar dari hal-hal yang perlu digelitik.
Dan jangan lupa tentang: xkcd ;-)
sumber
Karena Anda sedikit mengubah pertanyaan, inilah jawaban saya untuk bagian yang diubah:
Jawab: Kamu tidak bisa
Ada banyak perangkat keras dan sistem perangkat lunak canggih seperti deteksi tamper , enkripsi dll, tetapi semuanya harus begini:
Anda dapat melindungi data Anda, tetapi Anda tidak dapat melindungi perangkat keras Anda begitu seseorang memiliki akses ke sana. Dan jika Anda terus menggunakan perangkat keras apa pun setelah orang lain memiliki akses, Anda membahayakan data Anda!
Gunakan notebook yang aman dengan deteksi kerusakan yang membersihkan RAM ketika seseorang mencoba membukanya, menggunakan enkripsi disk penuh, menyimpan cadangan data Anda yang dienkripsi di lokasi yang berbeda. Kemudian buat sesulit mungkin untuk mendapatkan akses fisik ke perangkat keras Anda. Tetapi jika Anda yakin seseorang memiliki akses ke perangkat keras Anda, bersihkan dan buang.
Pertanyaan selanjutnya yang harus Anda tanyakan adalah: Bagaimana saya bisa mendapatkan perangkat keras baru yang belum dirusak.
sumber
Gunakan kata sandi ATA untuk HDD / SSD Anda
Ini akan mencegah penggunaan disk tanpa kata sandi . Ini berarti Anda tidak dapat boot tanpa kata sandi karena Anda tidak dapat mengakses MBR atau ESP tanpa kata sandi. Dan jika disk digunakan di dalam manchine lain, kata sandi masih diperlukan.
Jadi, Anda dapat menggunakan kata sandi ATA pengguna untuk HDD / SSD Anda. Ini biasanya diatur di dalam BIOS (tetapi ini bukan kata sandi BIOS).
Untuk keamanan ekstra, Anda juga dapat menetapkan kata sandi ATA master pada disk. Untuk menonaktifkan penggunaan kata sandi produsen.
Anda dapat melakukan ini pada cli
hdparm
juga.Harus ekstra hati - hati karena Anda dapat kehilangan semua data Anda jika Anda kehilangan kata sandi.
http://www.admin-magazine.com/Archive/2014/19/Using-the-ATA-security-features-of-modern-hard-disks-and-SSDs
Catatan: Ada juga kelemahan di sini karena ada perangkat lunak yang mengklaim untuk memulihkan kata sandi ATA, atau bahkan mengklaim untuk menghapusnya. Jadi tidak 100% aman juga.
Catatan: Kata sandi ATA tidak harus disertai dengan FED (Enkripsi Disk Penuh)
sumber