Bagaimana cara mengamankan laptop saya sehingga peretasan dengan akses fisik tidak dimungkinkan?

73

Saya mengacaukan sistem saya sebelumnya, saya disambut dengan layar hitam, ketika boot ke Ubuntu. Ketika saya memulai laptop saya, saya memilih opsi pemulihan dari menu grub, dan memilih mundur di terminal root . Saya melihat bahwa saya dapat menggunakan perintah add user, dengan itu, saya mungkin dapat menggunakan untuk membuat pengguna istimewa di komputer saya.

Bukankah itu masalah keamanan?

Seseorang bisa saja mencuri laptop saya dan pada saat startup memilih pemulihan dan menambahkan pengguna lain, saya fudged kemudian. Termasuk data saya.

Kalau dipikir-pikir, bahkan jika Anda entah bagaimana menghapus entri itu, seseorang dapat boot dari live-CD, chrootbangun dan jalankan dan kemudian tambahkan pengguna lain, dengan hak istimewa yang memungkinkannya untuk melihat semua data saya.

Jika saya mengatur BIOS untuk boot pada HD saya saja, tidak ada USB, CD / DVD, startup Jaringan, dan mengatur kata sandi BIOS, itu masih tidak masalah, karena Anda masih memiliki entri startup pemulihan grub.

Saya cukup yakin bahwa seseorang dari China, Rusia tidak dapat meretas Ubuntu Trusty Tahr saya, dari jaringan, karena aman seperti itu. Tetapi, jika seseorang memiliki akses fisik ke mesin Anda, maka, itulah sebabnya saya mengajukan pertanyaan ini. Bagaimana saya bisa mengamankan mesin saya sehingga tidak mungkin meretas melalui akses fisik?

Laporan Bug:

14.04 grub2 security encryption blade19899
sumber
35
Enkripsi disk lengkap dan glitternailpolish untuk sekrup Anda. Siapa yang tidak melakukannya saat ini?
mondjunge
2
@ByteCommander Anda dapat menambahkan pengguna root. Cukup tambahkan pengguna lain dengan uid 0 ke / etc / password. Saya baru saja menambahkan fred fred:x:0:0:fred,,,:/home/fred:/bin/bashdan sekarang jika saya login sebagai fred dan menjalankan whoami, saya dapatroot
Josef
3
@ByteCommander mereka seharusnya . Alat untuk mengelola akun seperti adduserdll. Tidak akan membiarkan Anda melakukan hal itu biasanya, tetapi hanya mengedit /etc/passwdberfungsi. Menjadi seorang hacker berarti mengabaikan apa yang harus Anda lakukan;)
Josef
3
@ blade19899 Bug baru Anda pasti akan ditolak. Bandingkan yang sudah ada ini: bugs.launchpad.net/ubuntu/+bug/283662
Byte Commander
4
@ blade19899 Poin saya yang lebih luas adalah bahwa Anda perlu berpikir dalam hal risiko dan pertukaran, bukan absolut. Saya tidak tahu siapa Anda atau di mana Anda tinggal tetapi perampokan rumah yang mengarah ke seseorang secara efektif menggunakan data Anda (bukan hanya mencoba untuk memuat perangkat keras) karena kedengarannya agak jauh dibuat dan mungkin kurang perhatian daripada waktu, uang atau bahkan kehilangan data yang dapat disebabkan oleh kurangnya opsi pemulihan yang efektif. Itulah sebabnya memiliki terminal root cadangan adalah hal yang baik. Tetapi jelas itu bukan untuk mengatakan bahwa Anda tidak harus melihat ke dalam enkripsi disk penuh.
Santai

Jawaban:

86

Dugaan saya adalah bahwa hanya enkripsi disk lengkap menggunakan algoritma yang kuat dan, yang paling penting, kata sandi yang baik adalah satu-satunya hal yang dapat mengamankan data yang disimpan secara lokal Anda. Ini memberi Anda keamanan 99,99% mungkin. Silakan merujuk ke salah satu dari banyak panduan tentang cara melakukan ini.

Selain itu, TIDAK mungkin untuk mengamankan mesin Anda dari peretas berpengalaman dengan akses fisik.

  • Kata sandi pengguna / akun:
    Sangat mudah untuk membuat pengguna admin baru jika Anda boot ke mode pemulihan, seperti yang Anda gambarkan sendiri, karena Anda mendapatkan shell root tanpa diminta kata sandi dengan cara ini.
    Itu mungkin terlihat seperti masalah keamanan yang tidak disengaja, tetapi ditujukan untuk (siapa yang mengira itu?) Kasus pemulihan, di mana Anda misalnya kehilangan kata sandi admin Anda atau mengacaukan sudoperintah atau hal-hal penting lainnya.

  • kata sandi root:
    Ubuntu belum menetapkan kata sandi pengguna root apa pun secara default. Namun, Anda dapat mengatur satu dan akan diminta untuk itu jika Anda boot dalam mode pemulihan. Ini tampaknya cukup aman, tetapi masih belum ada solusi yang akhirnya aman. Anda masih dapat menambahkan parameter kernel single init=/bin/bashmelalui GRUB sebelum mem-boot Ubuntu yang memulainya dalam mode pengguna tunggal - yang sebenarnya merupakan shell root tanpa kata sandi juga.

  • Mengamankan menu GRUB dengan kata sandi:
    Anda dapat mengamankan entri menu GRUB Anda hanya dapat diakses setelah otentikasi, yaitu Anda dapat menolak mem-booting mode pemulihan tanpa kata sandi. Ini juga mencegah dari memanipulasi parameter kernel. Untuk informasi lebih lanjut, lihat situs Grub2 / Kata Sandi di help.ubuntu.com . Ini hanya dapat dilewati jika Anda mem-boot dari media eksternal atau menghubungkan HDD ke komputer lain secara langsung.

  • Nonaktifkan booting dari media eksternal di BIOS:
    Anda dapat mengatur urutan boot dan biasanya mengecualikan perangkat dari boot di banyak versi BIOS / UEFI saat ini. Pengaturan tersebut tidak diamankan, karena semua orang dapat masuk ke menu pengaturan. Anda harus menetapkan kata sandi di sini juga, tetapi ...

  • Kata sandi BIOS:
    Anda biasanya dapat mem-bypass kata sandi BIOS juga. Ada beberapa metode:

    • Setel ulang memori CMOS (tempat pengaturan BIOS disimpan) dengan membuka kasing komputer dan melepas secara fisik baterai CMOS atau mengatur sementara jumper "Kosongkan CMOS".
    • Atur ulang pengaturan BIOS dengan kombinasi tombol layanan. Sebagian besar produsen motherboard menggambarkan kombinasi tombol dalam manual layanan mereka untuk mengatur ulang pengaturan BIOS yang kacau ke nilai default, termasuk kata sandi. Contohnya adalah untuk menahan ScreenUpsambil menyalakan daya, yang, jika saya ingat benar, membuka motherboard acer dengan AMI BIOS sekali untuk saya setelah saya mengacaukan pengaturan overclocking saya.
    • Terakhir, ada set kata sandi BIOS default yang sepertinya selalu berfungsi, terlepas dari kata sandi yang sebenarnya. Saya tidak mengujinya, tetapi situs ini menawarkan daftar mereka, dikategorikan oleh produsen.
      Terima kasih kepada Rinzwind untuk informasi dan tautan ini!

  • Kunci kasing komputer / tolak akses fisik ke motherboard dan hard disk:
    Sekalipun semuanya gagal, pencuri data masih dapat membuka laptop / komputer Anda, keluarkan HDD dan sambungkan ke komputernya sendiri. Memasangnya dan mengakses semua file yang tidak dienkripsi adalah sepotong kue darinya. Anda harus memasukkannya ke dalam case yang terkunci dengan aman di mana Anda dapat memastikan tidak ada yang dapat membuka komputer. Namun ini tidak mungkin untuk laptop dan sulit untuk desktop. Mungkin Anda bisa berpikir memiliki film aksi seperti alat penghancur diri yang meledakkan beberapa bahan peledak di dalam diri seseorang jika seseorang mencoba membukanya? ;-) Tetapi pastikan Anda tidak perlu membukanya sendiri untuk pemeliharaan!

  • Enkripsi disk lengkap:
    Saya tahu saya menyarankan metode ini sebagai aman, tetapi juga tidak 100% aman jika Anda kehilangan laptop saat sedang aktif. Ada yang disebut "serangan boot dingin" yang memungkinkan penyerang untuk membaca kunci enkripsi dari RAM Anda setelah mengatur ulang mesin yang sedang berjalan. Ini membongkar sistem, tetapi tidak menyiram isi RAM saat itu tanpa daya cukup singkat.
    Terima kasih kepada kos atas komentarnya tentang serangan ini!
    Saya juga akan mengutip komentar keduanya di sini:

    Ini adalah video lama, tetapi menjelaskan konsep ini dengan baik: "Supaya Kita Tidak Ingat: Serangan Boot Dingin pada Kunci Enkripsi" di YouTube ; jika Anda memiliki set kata sandi BIOS, penyerang masih dapat mengeluarkan baterai CMOS saat laptop masih menyala untuk memungkinkan drive yang dibuat khusus untuk melakukan booting tanpa kehilangan detik yang krusial; ini lebih menakutkan saat ini karena SSD, karena SSD yang dibuat khusus mungkin akan mampu membuang 8GB bahkan dalam waktu kurang dari 1 menit, mengingat kecepatan tulis ~ 150MB / s

    Terkait, tetapi masih belum terjawab pertanyaan tentang cara mencegah Serangan Boot Dingin: Bagaimana cara mengaktifkan Ubuntu (menggunakan enkripsi disk penuh) untuk memanggil LUKSupend sebelum tidur / menangguhkan ke RAM?

Untuk menyimpulkan: Saat ini tidak ada yang benar-benar melindungi laptop Anda dari digunakan oleh seseorang dengan akses fisik dan niat jahat. Anda hanya dapat mengenkripsi semua data Anda sepenuhnya jika Anda cukup paranoid sehingga berisiko kehilangan segalanya dengan melupakan kata sandi atau kerusakan. Jadi enkripsi membuat backup lebih penting daripada yang sudah ada. Namun, mereka kemudian harus dienkripsi juga dan terletak di tempat yang sangat aman.
Atau jangan memberikan laptop Anda dan berharap Anda tidak akan pernah kehilangannya. ;-)

Jika Anda tidak terlalu peduli dengan data Anda tetapi lebih pada perangkat keras Anda, Anda mungkin ingin membeli dan menginstal pengirim GPS ke kasing Anda, tetapi itu hanya untuk orang-orang paranoid atau agen federal yang sebenarnya.

Komandan Byte
sumber
7
Dan enkripsi disk lengkap masih tidak akan menyelamatkan Anda dari serangan cold-boot, jika laptop Anda dicuri saat sedang hidup!
kos
14
Juga setelah laptop Anda berada di luar kendali Anda untuk jumlah waktu berapa pun, itu tidak bisa diharapkan aman lagi. Sekarang ini bisa mencatat kata sandi pre-boot Anda, misalnya.
Josef
1
Mengenkripsi data Anda seharusnya tidak meningkatkan risiko kehilangannya, karena Anda memang memiliki cadangan, bukan? Data hanya disimpan sekali tidak jauh lebih baik daripada data tidak ada. SSD khususnya cenderung tiba-tiba gagal tanpa ada kesempatan untuk mengeluarkannya.
Josef
3
Ini adalah video lama, tetapi menjelaskan konsepnya dengan baik: youtube.com/watch?v=JDaicPIgn9U ; jika Anda memiliki set kata sandi BIOS, penyerang masih dapat mengeluarkan baterai CMOS saat laptop masih menyala untuk memungkinkan drive yang dibuat khusus untuk melakukan booting tanpa kehilangan detik yang krusial; ini lebih menakutkan saat ini karena SSD, karena SSD yang dibuat khusus mungkin akan mampu membuang 8GB bahkan dalam waktu kurang dari 1 menit, mengingat kecepatan penulisan ~ 150MB / s
kos
2
@ByteCommander tetapi SSD Anda bisa gagal sama saja dan semua data Anda hilang. Tentu, jika Anda cenderung lupa kata sandi (yah, tulis dan letakkan di brankas Anda) kemungkinan kehilangan semua data Anda akan meningkat dengan enkripsi, tetapi tidak seperti data Anda super aman kecuali Anda berani mengenkripsi kata sandi tersebut. . Anda tidak "mempertaruhkan segalanya dengan lupa kata sandi atau kerusakan", Anda melakukannya dengan tidak memiliki cadangan.
Josef
11

Laptop paling aman adalah laptop tanpa data apa pun. Anda dapat mengatur lingkungan cloud pribadi Anda dan kemudian tidak menyimpan sesuatu yang penting secara lokal.

Atau keluarkan hard drive dan lelehkannya dengan termit. Meskipun ini secara teknis menjawab pertanyaan, itu mungkin bukan yang paling praktis karena Anda tidak akan dapat menggunakan laptop Anda lagi. Tapi juga para peretas yang tidak pernah kabur.

Jika tidak ada opsi itu, enkripsi dua hard drive tersebut dan minta USB thumbdrive untuk dicolokkan untuk mendekripsinya. USB thumbdrive berisi satu set kunci dekripsi dan BIOS berisi set-kata sandi lain yang dilindungi, tentu saja. Gabungkan dengan data penghancuran otomatis data otomatis jika USB thumbdrive tidak dicolokkan saat boot / melanjutkan dari penangguhan. Bawa USB thumbdrive pada orang Anda setiap saat. Kombinasi ini juga terjadi untuk menangani XKCD # 538 .

XKCD # 538

E. Diaz
sumber
7
Rutin self-destruct otomatis tentu akan menjadi kejutan yang menyenangkan setelah USB thumbdrive Anda menumpuk debu pada bantalan kontak.
Dmitry Grigoryev
10

Enkripsi disk Anda. Dengan cara ini sistem dan data Anda akan aman jika laptop Anda dicuri. Jika tidak:

  • Kata sandi BIOS tidak akan membantu: pencuri dapat dengan mudah mengekstrak disk dari komputer Anda dan meletakkannya di PC lain untuk mem-boot darinya.
  • Kata sandi pengguna / root Anda tidak akan membantu: pencuri dapat dengan mudah memasang disk seperti dijelaskan di atas dan mengakses semua data Anda.

Saya akan merekomendasikan Anda untuk memiliki partisi LUKS di mana Anda dapat mengatur LVM. Anda dapat membiarkan partisi boot tidak terenkripsi sehingga Anda hanya perlu memasukkan kata sandi sekali saja. Ini berarti sistem Anda dapat lebih mudah dikompromikan jika dirusak (dicuri dan dikembalikan kepada Anda tanpa Anda sadari), tetapi ini adalah kasus yang sangat langka dan, kecuali Anda berpikir Anda sedang diikuti oleh NSA, pemerintah atau semacam mafia, kamu tidak perlu khawatir tentang ini.

Pemasang Ubuntu Anda akan memberi Anda pilihan untuk menginstal dengan LUKS + LVM dengan cara yang sangat mudah dan otomatis. Saya tidak memposting ulang detailnya di sini, karena sudah ada banyak dokumentasi di internet. :-)

Peque
sumber
Jika memungkinkan, dapatkah Anda memberikan jawaban yang lebih terperinci. Seperti yang Anda tahu dari pertanyaan saya, saya bukan penggemar keamanan.
blade19899
dipilih untuk poin-poin penting, tetapi perhatikan bahwa enkripsi disk penuh bukan satu-satunya cara, juga tidak perlu jika Anda membatasi file sensitif Anda /home/yourName- seperti yang seharusnya! - kemudian susun folder ini dengan driver enkripsi tingkat file (seperti yang saya sebutkan di OP dan tidak akan spam lagi), alternatif yang sangat layak. Saya tidak khawatir tentang orang-orang melihat semua hal yang membosankan /usr, dll.
underscore_d
1
@underscore_d: Saya memang khawatir tentang hal-hal lain di luar /home(termasuk data pribadi dan profesional di partisi lain), jadi lebih mudah bagi saya untuk mengenkripsi semuanya, tapi saya kira setiap pengguna memiliki kebutuhan mereka sendiri :-). Namun, menggunakan ecryptfsbukanlah keputusan terbaik berdasarkan kinerja. Anda dapat menemukan beberapa tolok ukur di sini . Pastikan untuk membaca halaman 2-5dalam artikel untuk hasil aktual (halaman 1hanyalah pengantar).
Peque
Sangat benar, terima kasih atas tautan / tolok ukurnya. Saya belum menemukan hambatan kinerja, tapi mungkin nanti saya akan melakukannya. Juga, saya menyadari saya mungkin harus mulai berpikir tentang mengenkripsi hal-hal seperti /var/log, /var/www(sumber), & /tmp, jadi mungkin enkripsi disk penuh akan mulai tampak lebih masuk akal!
underscore_d
@underscore_d: yeah, dan kemudian Anda mulai berpikir tentang /etcdan direktori tingkat atas lainnya ... Pada akhirnya enkripsi cakram penuh adalah solusi sederhana dan cepat yang akan membuat Anda tidur seperti bayi setiap malam. ^^
Peque
5

Ada beberapa solusi perangkat keras yang perlu diperhatikan.

Pertama, beberapa laptop, seperti beberapa laptop bisnis Lenovo dilengkapi dengan sakelar pendeteksi tamper yang mendeteksi ketika kasing dibuka. Di Lenovo, fitur ini perlu diaktifkan di BIOS dan kata sandi admin perlu diatur. Jika tamper terdeteksi, laptop akan (saya percaya) segera dimatikan, saat startup akan menampilkan peringatan dan memerlukan kata sandi admin dan adaptor AC yang tepat untuk melanjutkan. Beberapa detektor kerusakan juga akan membunyikan alarm yang dapat didengar, dan dapat dikonfigurasikan untuk mengirim email.

Deteksi tamper tidak benar-benar mencegah gangguan (tetapi mungkin membuat lebih sulit untuk mencuri data dari RAM - dan deteksi tamper dapat "merusak" perangkat jika mendeteksi sesuatu yang sangat cerdik seperti mencoba mengeluarkan baterai CMOS). Keuntungan utama adalah bahwa seseorang tidak dapat secara diam-diam mengutak-atik perangkat keras tanpa Anda sadari - jika Anda telah menyiapkan keamanan perangkat lunak yang kuat seperti enkripsi disk penuh maka merusak secara diam-diam dengan perangkat keras jelas merupakan salah satu vektor serangan yang tersisa.

Keamanan fisik lainnya adalah beberapa laptop dapat dikunci ke dok. Jika dock terpasang dengan aman ke sebuah meja (melalui sekrup yang akan berada di bawah laptop) dan laptop tetap terkunci ke dock saat tidak digunakan, maka dock memberikan lapisan tambahan perlindungan fisik. Tentu saja ini tidak akan menghentikan pencuri yang gigih tetapi pasti membuat lebih sulit untuk mencuri laptop dari rumah atau bisnis Anda, dan saat dikunci masih dapat digunakan dengan sempurna (dan Anda dapat mencolokkan periferal, ethernet, dan sebagainya ke dermaga).

Tentu saja, fitur fisik ini tidak berguna untuk mengamankan laptop yang tidak memilikinya. Tetapi jika Anda sadar akan keamanan mungkin ada baiknya mempertimbangkan mereka saat membeli laptop.

Blake Walsh
sumber
2

Selain itu untuk mengenkripsi disk Anda (Anda tidak akan bisa melakukannya): - SELinux dan TRESOR. Keduanya mengeraskan kernel Linux dan berusaha mempersulit penyerang untuk membaca berbagai hal dari memori.

Sementara Anda berada di dalamnya: Kami sekarang memasuki wilayah tidak hanya takut orang-orang jahat yang jahat ingin info kartu debit Anda (mereka tidak melakukan itu) tetapi sering cukup agen intelijen. Dalam hal ini Anda ingin melakukan lebih banyak:

  • Cobalah untuk membersihkan semua sumber tertutup (juga firmware) dari PC. Ini termasuk UEFI / BIOS!
  • Gunakan tianocore / coreboot sebagai UEFI / BIOS baru
  • Gunakan SecureBoot dengan kunci Anda sendiri.

Ada banyak hal lain yang dapat Anda lakukan tetapi itu harus memberikan jumlah yang wajar dari hal-hal yang perlu digelitik.

Dan jangan lupa tentang: xkcd ;-)

Larkey
sumber
Saran-saran ini tidak membantu. Baik SELinux maupun TRESOR tidak menghentikan seseorang dengan akses fisik. Mereka tidak dirancang untuk model ancaman ini. Mereka akan memberikan rasa aman yang salah. PS Purging kode sumber tertutup sama sekali tidak terkait dengan memberikan keamanan terhadap seseorang dengan akses fisik.
DW
1
@DW "TRESOR (singkatan rekursif untuk" TRESOR Runs Encryption Secure RAM Luar ") adalah patch kernel Linux yang menyediakan enkripsi berbasis-CPU untuk bertahan dari serangan boot dingin" - jadi TRESOR jelas membantu dalam skenario seperti itu. Tapi itu hanya poin sampingan. Saya menulis 'Tambahan' karena hal-hal itu tidak akan benar-benar melakukan apa pun jika Anda tidak mengenkripsi disk Anda (dalam skenario akses fisik). Namun ketika Anda meningkatkan keamanan fisik Anda tidak boleh lupa bahwa penyerang masih bisa boot dan melakukan serangan digital juga (mis. Mengeksploitasi bug).
larkey
@ WD Sangat menyebalkan jika PC Anda terenkripsi dengan baik tetapi cenderung mengalami peningkatan hak istimewa. Itu sebabnya - jika seseorang hendak mengamankan sistem dari sisi fisik - orang juga harus melakukan beberapa sisi perangkat lunak pengerasan. Saya secara eksplisit menyatakan bahwa mereka mengeraskan Kernel Linux dan itu harus dilakukan tambahan . Hal yang sama berlaku untuk perangkat lunak sumber tertutup. Disk Anda mungkin terenkripsi dengan baik tetapi jika ada keylogger pintu belakang di UEFI, disk itu tidak akan membantu Anda melawan agen intelijen.
larkey
Jika Anda menggunakan enkripsi disk penuh dan tidak membiarkan komputer Anda berjalan tanpa pengawasan, serangan peningkatan hak istimewa tidak relevan, karena penyerang tidak akan mengetahui kata sandi dekripsi. (. Tepat penggunaan enkripsi disk penuh mengharuskan Anda untuk mematikan / hibernate ketika tanpa pengawasan) Jika Anda menggunakan enkripsi disk penuh dan melakukan meninggalkan komputer Anda tanpa pengawasan, maka enkripsi disk dapat dilewati oleh sejumlah metode - misalnya, melampirkan USB dongle - bahkan jika Anda menggunakan TRESOR, SELinux, dll. Sekali lagi, itu tidak dirancang untuk model ancaman ini. Jawaban ini tampaknya tidak mencerminkan analisis keamanan yang cermat.
DW
1
Dengan kata-kata musang-kata "cobalah", apapun yang memenuhi syarat - enkripsi rot13 dapat mencoba memastikan bahwa exploit tidak dapat mengambil alih sistem. Itu tidak akan berhasil, sangat berharga, tapi aku bisa menggambarkannya sebagai mencoba. Maksud saya adalah bahwa pertahanan yang Anda pilih tidak efektif menghentikan serangan kelas ini. SELinux / TRESOR tidak menghentikan boot dingin. Untuk menganalisis keamanan, Anda harus mulai dengan model ancaman dan menganalisis pertahanan terhadap model ancaman khusus itu. Keamanan bukanlah proses memerciki daftar pembatasan tambahan yang tak ada habisnya. Ada beberapa ilmu untuk itu.
DW
2

Karena Anda sedikit mengubah pertanyaan, inilah jawaban saya untuk bagian yang diubah:

Bagaimana saya bisa mengamankan mesin saya sehingga tidak mungkin meretas melalui akses fisik?

Jawab: Kamu tidak bisa

Ada banyak perangkat keras dan sistem perangkat lunak canggih seperti deteksi tamper , enkripsi dll, tetapi semuanya harus begini:

Anda dapat melindungi data Anda, tetapi Anda tidak dapat melindungi perangkat keras Anda begitu seseorang memiliki akses ke sana. Dan jika Anda terus menggunakan perangkat keras apa pun setelah orang lain memiliki akses, Anda membahayakan data Anda!

Gunakan notebook yang aman dengan deteksi kerusakan yang membersihkan RAM ketika seseorang mencoba membukanya, menggunakan enkripsi disk penuh, menyimpan cadangan data Anda yang dienkripsi di lokasi yang berbeda. Kemudian buat sesulit mungkin untuk mendapatkan akses fisik ke perangkat keras Anda. Tetapi jika Anda yakin seseorang memiliki akses ke perangkat keras Anda, bersihkan dan buang.

Pertanyaan selanjutnya yang harus Anda tanyakan adalah: Bagaimana saya bisa mendapatkan perangkat keras baru yang belum dirusak.

Josef
sumber
1

Gunakan kata sandi ATA untuk HDD / SSD Anda

Ini akan mencegah penggunaan disk tanpa kata sandi . Ini berarti Anda tidak dapat boot tanpa kata sandi karena Anda tidak dapat mengakses MBR atau ESP tanpa kata sandi. Dan jika disk digunakan di dalam manchine lain, kata sandi masih diperlukan.

Jadi, Anda dapat menggunakan kata sandi ATA pengguna untuk HDD / SSD Anda. Ini biasanya diatur di dalam BIOS (tetapi ini bukan kata sandi BIOS).

Untuk keamanan ekstra, Anda juga dapat menetapkan kata sandi ATA master pada disk. Untuk menonaktifkan penggunaan kata sandi produsen.

Anda dapat melakukan ini pada cli hdparmjuga.

Harus ekstra hati - hati karena Anda dapat kehilangan semua data Anda jika Anda kehilangan kata sandi.

http://www.admin-magazine.com/Archive/2014/19/Using-the-ATA-security-features-of-modern-hard-disks-and-SSDs

Catatan: Ada juga kelemahan di sini karena ada perangkat lunak yang mengklaim untuk memulihkan kata sandi ATA, atau bahkan mengklaim untuk menghapusnya. Jadi tidak 100% aman juga.

Catatan: Kata sandi ATA tidak harus disertai dengan FED (Enkripsi Disk Penuh)

titik balik matahari
sumber