Bagaimana saya bisa mencegah seseorang mengatur ulang kata sandi saya dengan Live CD?

55

Baru-baru ini salah satu teman saya datang ke tempat saya, dalam waktu 15 menit dia meretas akun saya menggunakan Live CD dan mengatur ulang kata sandi di depan saya. Saya bingung melihat hal seperti itu. Tolong tuntun saya untuk mencegah upaya di masa depan menggunakan Live CD.

pembuat kode
sumber
10
Cabut drive disk optik.
Anonim
7
Mungkin menarik bagi Anda untuk mengetahui bahwa mungkin untuk melakukan hal yang sama di Windows; ketika saya bekerja di IT di sebuah universitas besar, saya membawa CD untuk memungkinkan saya melakukannya jika perlu. Tidak ada komputer yang benar-benar aman jika seseorang dapat mem-boot dari media lain.
Kelley
4
Suara hampa berbisik "enkripsi disk penuh".
Joshua

Jawaban:

56

Cara cepat dan mudah untuk melakukan ini adalah dengan menonaktifkan boot dari CD dan stik USB di BIOS Anda dan menetapkan kata sandi BIOS.

Menurut halaman wiki ini :

Menempatkan kata sandi atau mengunci item menu (dalam file konfigurasi Grub) tidak mencegah pengguna untuk mem-boot secara manual menggunakan perintah yang dimasukkan pada baris perintah grub.

Namun tidak ada yang menghentikan seseorang dari mencuri hard drive Anda dan memasangnya di komputer lain, atau mengatur ulang BIOS Anda dengan melepas baterai, atau salah satu metode lain yang dapat digunakan penyerang ketika mereka memiliki akses fisik ke mesin Anda.

Cara yang lebih baik adalah dengan mengenkripsi drive Anda, Anda bisa melakukan ini dengan mengenkripsi direktori home Anda, atau mengenkripsi seluruh disk:

Jorge Castro
sumber
2
Itu tidak cukup - Anda juga harus menonaktifkan mode pemulihan dan mengunci GRUB2 sehingga opsi boot tidak dapat ditentukan (atau tidak dapat ditentukan tanpa memasukkan kata sandi). Setelah semua ini dilakukan, tidak hanya itu tidak menghentikan seseorang mencuri hard drive, tetapi seseorang yang membuka komputer dapat menonaktifkan kata sandi BIOS, dan seseorang yang tidak ingin membuka komputer mungkin bisa saja mencuri seluruh komputer.
Eliah Kagan
tetapi sobat bagaimana jika seseorang hanya mengambil hard disk saya dibuka / etc / shadow mengubah kata sandi saya yang dienkripsi dan kemudian reboot direktori rumah terenkripsi juga akan terbuka untuknya
coder
10
@shariq Jika seseorang mengubah kata sandi Anda hanya di / etc / shadow maka direktori home terenkripsi tidak akan terbuka ketika seseorang masuk dengan kata sandi baru. Dalam hal ini, direktori home terenkripsi harus dipasang secara manual dengan kata sandi lama, dan jika tidak ada yang tahu kata sandi lama, kata sandi itu harus di-crack, yang akan sulit dan agaknya gagal. Saat Anda mengenkripsi direktori home Anda, mengubah kata sandi Anda dengan mengedit / etc / shadow tidak mengubah kata sandi yang dengannya data Anda dienkripsi.
Eliah Kagan
@EliahKagan Saya tidak dapat informasi tentang cara melakukannya, jadi saya telah mengutip halaman wiki, jika Anda menemukan informasi lebih lanjut silakan mengeditnya menjadi jawaban saya.
Jorge Castro
6
+1 Hal pertama yang muncul di benak saya adalah mengenkripsi direktori home.
Nathan Osman
50

Berdiri di samping komputer Anda sambil memegang tongkat tee-bola. Pukul siapa pun yang dekat dengan parah.

Atau menguncinya.

Jika komputer Anda dapat diakses secara fisik, itu tidak aman.

mdebusk
sumber
18
Bagaimana ini melindungi kita dari para pria dengan anjing besar dan senapan mesin? : D
jrg
3
amankan komputer dengan anjing dan gunakan kamera keamanan untuk melindungi anjing dan di ruang gerak selanjutnya
Kangarooo
3
+1 untuk keseriusan jawaban ini. Anda benar-benar melakukan pekerjaan dengan baik di sini dan berhak mendapatkan suara.
RolandiXor
1
Memberi +1 untuk jawaban dan komentar hebat .. Saya tidak bisa menahan diri untuk tertawa keras-keras !! : D :) @jrg adalah yang terbaik .. ha ha ha .. :) Bagus untuk melihat hal seperti ini di askubuntu.
Saurav Kumar
26

Pertama, peringatan ...

Prosedur proteksi kata sandi grub2 bisa sangat rumit dan jika Anda salah, ada kemungkinan meninggalkan diri Anda dengan sistem non-bootable. Jadi selalu buat cadangan gambar penuh dari hard drive Anda terlebih dahulu. Rekomendasi saya adalah menggunakan Clonezilla - alat cadangan lain seperti PartImage juga bisa digunakan.

Jika Anda ingin mempraktikkan ini - gunakan tamu mesin virtual yang dapat Anda kembalikan snapshot.

Mari kita mulai

Prosedur di bawah ini melindungi pengeditan pengaturan Grub yang tidak sah saat mem-boot - yaitu, menekan euntuk mengedit memungkinkan Anda untuk mengubah opsi boot. Misalnya, Anda bisa memaksa boot ke mode pengguna tunggal dan karenanya memiliki akses ke hard disk Anda.

Prosedur ini harus digunakan bersama dengan enkripsi hard disk dan opsi booting BIOS yang aman untuk mencegah booting dari live cd seperti yang dijelaskan dalam jawaban terkait untuk pertanyaan ini.

hampir semua yang ada di bawah ini dapat disalin dan ditempelkan satu baris pada satu waktu.

Pertama, buat cadangan file grub yang akan kami edit - buka sesi terminal:

sudo mkdir /etc/grub.d_backup
sudo cp /etc/grub.d/* /etc/grub.d_backup

Mari kita membuat nama pengguna untuk grub:

gksudo gedit /etc/grub.d/00_header &

Gulir ke bawah, tambahkan baris kosong baru dan salin dan tempel berikut ini:

cat << EOF
set superusers="myusername"
password myusername xxxx
password recovery 1234
EOF

Dalam contoh ini dua username diciptakan: myusername dan pemulihan

Berikutnya - arahkan kembali ke terminal (jangan tutup gedit):

Hanya pengguna Natty dan Oneiric

Hasilkan kata sandi terenkripsi dengan mengetik

grub-mkpasswd-pbkdf2

Masukkan kata sandi yang akan Anda gunakan dua kali saat diminta

Your PBKDF2 is grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

Bit yang kami minati mulai grub.pbkdf2...dan berakhirBBE2646

Sorot bagian ini menggunakan mouse Anda, klik kanan dan salin ini.

Beralih kembali ke geditaplikasi Anda - sorot teks "xxxx" dan ganti ini dengan yang Anda salin (klik kanan dan tempel)

yaitu garis harus seperti

password myusername grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

semua versi buntu (jelas dan di atas)

Simpan dan tutup file.

Akhirnya Anda perlu untuk melindungi sandi setiap menu grub entri (semua file yang memiliki garis yang dimulai menuentry ):

cd /etc/grub.d
sudo sed -i -e '/^menuentry /s/ {/ --users myusername {/' *

Ini akan menambahkan entri baru --users myusernameke setiap baris.

Jalankan pembaruan-grub untuk membuat ulang grub Anda

sudo update-grub

Ketika Anda mencoba untuk mengedit entri grub akan menanyakan nama pengguna Anda yaitu myusername dan sandi yang Anda gunakan.

Mulai ulang dan uji apakah nama pengguna dan kata sandi ditegakkan saat mengedit semua entri grub.

NB ingatlah untuk menekan SHIFTsaat boot untuk menampilkan grub Anda.

Kata sandi melindungi mode pemulihan

Semua hal di atas dapat dengan mudah diatasi dengan menggunakan mode pemulihan.

Untungnya Anda juga dapat memaksa nama pengguna dan kata sandi untuk menggunakan entri menu mode pemulihan. Di bagian pertama dari jawaban ini kami membuat nama pengguna tambahan yang disebut pemulihan dengan kata sandi 1234 . Untuk menggunakan nama pengguna ini, kami perlu mengedit file berikut:

gksudo gedit /etc/grub.d/10_linux

ubah baris dari:

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

Untuk:

if ${recovery} ; then
   printf "menuentry '${title}' --users recovery ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi 

Saat menggunakan pemulihan gunakan pemulihan nama pengguna dan kata sandi 1234

Jalankan sudo update-grubuntuk membuat kembali file grub Anda

Mulai ulang dan uji apakah Anda diminta sebagai nama pengguna dan kata sandi ketika mencoba mem-boot ke mode pemulihan.


Informasi Lebih Lanjut - http://ubuntuforums.org/showthread.php?t=1369019

kebebasan fosil
sumber
Hai! Saya mengikuti tutorial Anda dan itu berhasil ... kecuali jika Anda memilih versi lain, di mana Anda dapat menggunakan kunci "E" tanpa kata sandi
gsedej
Raring tidak memiliki garis printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"pemulihan tetapi yang serupa di dalam fungsi if. Bisakah Anda menyarankan cara mengeditnya?
papukaija
5

Penting untuk diingat bahwa jika seseorang memiliki akses fisik ke mesin Anda, mereka akan selalu dapat melakukan sesuatu untuk PC Anda. Hal-hal seperti mengunci casing PC Anda dan kata sandi BIOS tidak akan menghentikan orang yang bertekad mengambil hard drive dan data Anda.

balon
sumber
3
Dalam beberapa keadaan, hal-hal ini akan menghentikan bahkan orang yang bertekad mengambil hard drive dan cara data Anda. Misalnya, jika itu adalah mesin kios di warung internet dengan keamanan fisik yang baik (kamera keamanan, penjaga keamanan, pemilik / juru tulis yang waspada), orang yang teguh mungkin masih mencoba untuk secara fisik mencuri mesin atau hard drive, tetapi mereka kemungkinan akan gagal.
Eliah Kagan
4
Sebagai titik terpisah, jika Anda mencuri hard drive dari mesin yang datanya dienkripsi, maka Anda harus memecahkan enkripsi untuk mengakses data, dan dengan kata sandi berkualitas baik, melakukan hal itu mungkin sangat sulit ... atau mungkin bahkan mustahil.
Eliah Kagan
-2

Anda dapat membuatnya sehingga bahkan dalam kasus pengaturan ulang, "resetter" tidak akan dapat melihat data.

Untuk melakukan ini, cukup enkripsi /home.

Jika Anda ingin membuatnya agar pengaturan ulang tidak dimungkinkan, sesuatu harus dihapus, yang bertugas mengubah kata sandi.

Kanguru
sumber
Akses ke file pribadi Anda bukan satu-satunya masalah. Jika, katakanlah, akun Anda memiliki sudohak istimewa, mereka tidak perlu /homemelakukan kerusakan besar.
Kevin