Como proteger o modo de recuperação de grub

14

Quando eu inicializo o sistema no modo de recuperação no menu GRUB, consigo entrar em todos os root poderosos sem inserir nenhuma senha, portanto insegura.

Como posso proteger isso e garantir que uma senha seja solicitada toda vez que tento acessar a raiz no modo de recuperação?

security grub2 Jamess
fonte
Você precisa de mais esclarecimentos?
Erik Johansson
Alguém pode esclarecer como fazer isso no 14.04 LTS? Eu tentei, seguindo as instruções em help.ubuntu.com/community/Grub2/Passwords#Password_Encryption, para que a senha não fosse armazenada em texto sem formatação e não pudesse inicializar a máquina - ela não reconheceria a senha. Além disso, não quero proteger com senha TODAS as inicializações, apenas recuperação. Sim, eu sei que não é totalmente seguro, mas tenho um requisito de cima para proteger a recuperação por senha.
Betseyb

Respostas:

9

Há uma postagem nos fóruns do Ubuntu sobre a proteção de entradas por senha , basicamente para fazer com que os itens de recuperação exijam que você faça o login como super - homem com a senha 1234, você precisa editar alguns arquivos de configuração / script muito peludos:

Adicione ao /etc/grub.d/00_header

cat << EOF
set superusers="superman"
password superman 1234
password bill 5678
EOF

Altere /etc/grub.d/10_linux

A partir de: 

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

Para:

if ${recovery} ; then
   printf "menuentry '${title}' --users superman ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi

Aperfeiçoar a proteção é profundamente difícil

Outras coisas que você precisa fazer são proteger sua BIOS com senha, desativar a inicialização de qualquer coisa que não seja o disco rígido principal e criptografar sua partição raiz e montar qualquer outra partição como noexec. Isso ainda deixa muitos vetores.

Erik Johansson
fonte
Isso parece promissor. Vai verificar isso.
23811 Jamess
Não consigo encontrar essa linha de modo que nunca @Ron
Randol Albert
2

A única maneira confiável de proteger o sistema de um invasor com acesso físico à máquina é a criptografia de disco completo.

Adam Byrtek
fonte
Ou bloqueio da BIOS
Reuben Swartz
1
É trivial redefinir a senha do BIOS assim que você tiver acesso ao hardware. No entanto, um disco criptografado com uma boa senha (imune a um ataque de dicionário) permanecerá seguro enquanto o AES estiver seguro.
Adam Byrtek
Não é realmente fácil, porque muitas vezes você precisará de ferramentas e outro computador para fazer isso.
Erik Johansson
Tudo depende de um modelo de ameaça.
Adam Byrtek 24/03
0

Você não pode proteger seus dados se não estiverem criptografados, mas pode proteger o rootusuário. Quando alguém tenta acessar seu disco via recovery mode, precisa de senha.

definir senha root

sudo passwd root #set new password for user named root

teste de acesso root

su
shantanu
fonte