Como impedir que alguém redefina minha senha com um Live CD?

55

Recentemente, um dos meus amigos veio à minha casa, em 15 minutos ele invadiu minha conta usando um Live CD e redefiniu a senha na minha frente. Fiquei perplexo ao ver uma coisa dessas. Por favor, me guie para impedir uma tentativa futura usando um Live CD.

codificador
fonte
10
Desconecte a unidade de disco óptico.
Anônimo
7
Pode ser interessante saber que é possível fazer a mesma coisa no Windows; quando trabalhei em TI em uma grande universidade, tinha um CD comigo para permitir, se necessário. Nenhum computador é realmente seguro se alguém puder inicializar a partir de outra mídia.
Kelley
4
Uma voz oca sussurrou "criptografia de disco completo".
Joshua

Respostas:

56

Uma maneira rápida e fácil de fazer isso é desativar a inicialização de CDs e pen drives no BIOS e definir uma senha do BIOS.

De acordo com esta página wiki :

Colocar senhas ou bloquear itens de menu (nos arquivos de configuração do Grub) não impede que um usuário inicialize manualmente usando os comandos digitados na linha de comando do grub.

No entanto, não há nada que impeça alguém de roubar o disco rígido e montá-lo em outra máquina, ou redefinir o BIOS removendo a bateria ou um dos outros métodos que um invasor pode usar quando tiver acesso físico à sua máquina.

Uma maneira melhor seria criptografar sua unidade, você pode fazer isso criptografando seu diretório pessoal ou criptografando todo o disco:

Jorge Castro
fonte
2
Isso não é suficiente - você também deve desativar o modo de recuperação e bloquear o GRUB2 para que as opções de inicialização não possam ser especificadas (ou não podem ser especificadas sem a inserção de uma senha). Uma vez feito tudo isso, não apenas impede que alguém roube o disco rígido, mas alguém que abre o computador pode desativar a senha do BIOS, e alguém que não deseja abrir o computador pode presumivelmente roubar todo o computador.
Elias Kagan
Mas camarada que se alguém apenas levou meu disco rígido aberto / etc / sombra mudou minha senha criptografada e depois reiniciado o diretório home criptografado também será aberto para ele
codificador
10
@shariq Se alguém alterar sua senha apenas em / etc / shadow, o diretório inicial criptografado não será aberto quando alguém fizer logon com a nova senha. Nesse caso, o diretório inicial criptografado teria que ser montado manualmente com a senha antiga e, se ninguém soubesse a senha antiga, ela teria que ser quebrada, o que seria difícil e provavelmente falhará. Quando você criptografa seu diretório pessoal, alterar sua senha editando / etc / shadow não altera a senha com a qual seus dados são criptografados.
Elias Kagan
@EliahKagan Não consigo informações sobre como fazer isso, por isso citei a página wiki, se você encontrar mais informações, sinta-se à vontade para editá-las em minha resposta.
Jorge Castro
6
+1 A primeira coisa que me veio à mente foi criptografar o diretório inicial.
Nathan Osman
50

Fique ao lado do computador enquanto segura um taco de t-ball. Bata severamente em quem se aproxima.

Ou trancá-lo.

Se o seu computador estiver fisicamente acessível, não é seguro.

mdebusk
fonte
18
Como isso nos protege dos homens com cachorros grandes e metralhadoras? : D
jrg
3
computador seguro com cães e câmeras de segurança uso para cães protegem e no próximo quarto de movimento-metralhadoras
Kangarooo
3
+1 pela seriedade desta resposta. Você realmente fez um bom trabalho aqui e merece os votos.
RolandiXor
11
+1 para a ótima resposta e os comentários .. Eu simplesmente não conseguia parar de rir alto !! : D :) @jrg estava no seu melhor .. ha ha ha .. :) É bom ver esse tipo de coisa no askubuntu.
precisa
26

Primeiro o aviso ...

O procedimento de proteção de senha do grub2 pode ser bastante complicado e, se você errar, existe a possibilidade de deixar um sistema não inicializável. Portanto, sempre faça primeiro um backup completo da imagem do seu disco rígido. Minha recomendação seria usar o Clonezilla - outra ferramenta de backup como o PartImage também poderia ser usada.

Se você quiser praticar isso - use um convidado da máquina virtual que possa reverter um instantâneo.

vamos começar

O procedimento abaixo protege a edição não autorizada das configurações do Grub durante a inicialização - ou seja, pressionar epara editar permite alterar as opções de inicialização. Você pode, por exemplo, forçar a inicialização no modo de usuário único e, assim, ter acesso ao seu disco rígido.

Este procedimento deve ser usado em conjunto com a criptografia do disco rígido e uma opção de inicialização segura do BIOS para impedir a inicialização do live cd, conforme descrito na resposta associada a esta pergunta.

quase tudo abaixo pode ser copiado e colado uma linha de cada vez.

Primeiro vamos fazer backup dos arquivos grub que iremos editar - abra uma sessão de terminal:

sudo mkdir /etc/grub.d_backup
sudo cp /etc/grub.d/* /etc/grub.d_backup

Vamos criar um nome de usuário para o grub:

gksudo gedit /etc/grub.d/00_header &

Role até a parte inferior, adicione uma nova linha vazia, copie e cole o seguinte:

cat << EOF
set superusers="myusername"
password myusername xxxx
password recovery 1234
EOF

Neste exemplo, dois nomes de usuário foram criados: myusername e recovery

Próximo - volte para o terminal (não feche gedit):

Apenas usuários Natty e Oneiric

Gere uma senha criptografada digitando

grub-mkpasswd-pbkdf2

Digite sua senha que você usará duas vezes quando solicitado

Your PBKDF2 is grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

A parte em que estamos interessados ​​começa grub.pbkdf2...e terminaBBE2646

Destaque esta seção usando o mouse, clique com o botão direito e copie isso.

Volte para o seu geditaplicativo - destaque o texto "xxxx" e substitua-o pelo que você copiou (clique com o botão direito e cole)

ou seja, a linha deve parecer

password myusername grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

todas as versões do buntu (lúcidas e superiores)

Salve e feche o arquivo.

Finalmente, você precisa proteger com senha a cada entrada do menu grub (todos os arquivos que têm uma linha que começa menuentry ):

cd /etc/grub.d
sudo sed -i -e '/^menuentry /s/ {/ --users myusername {/' *

Isso adicionará uma nova entrada --users myusernamea cada linha.

Execute update-grub para regenerar seu grub

sudo update-grub

Quando você tenta editar uma entrada do grub, ele solicita seu nome de usuário, ou seja, meu nome de usuário e a senha que você usou.

Reinicialize e teste se o nome de usuário e a senha estão sendo aplicados ao editar todas as entradas do grub.

Lembre-se de pressionar SHIFTdurante a inicialização para exibir seu grub.

Senha protegendo o modo de recuperação

Todas as opções acima podem ser facilmente contornadas usando o modo de recuperação.

Felizmente, você também pode forçar um nome de usuário e senha para usar a entrada de menu do modo de recuperação. Na primeira parte desta resposta, criamos um nome de usuário adicional chamado recuperação com uma senha 1234 . Para usar esse nome de usuário, precisamos editar o seguinte arquivo:

gksudo gedit /etc/grub.d/10_linux

mude a linha de:

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

Para:

if ${recovery} ; then
   printf "menuentry '${title}' --users recovery ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi 

Ao usar a recuperação, use a recuperação de nome de usuário e a senha 1234

Execute sudo update-grubpara regenerar seu arquivo grub

Reinicialize e teste se você é solicitado como nome de usuário e senha ao tentar inicializar no modo de recuperação.


Mais informações - http://ubuntuforums.org/showthread.php?t=1369019

liberdade de expressão
fonte
Oi! Eu segui o seu tutorial e ele funciona ... exceto se você escolher outras versões, onde você pode usar a tecla "E" sem senha
gsedej
Raring não tem a linha printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"de recuperação, mas uma similar dentro de uma função if. Você poderia aconselhar como editá-lo?
papukaija
5

É importante lembrar que, se alguém tiver acesso físico à sua máquina, sempre poderá fazer coisas no seu PC. Coisas como bloquear o gabinete do PC e as senhas do BIOS não impedirão uma pessoa determinada de levar seu disco rígido e dados de qualquer maneira.

balões
fonte
3
Em algumas circunstâncias, essas coisas irão parar mesmo uma pessoa determinada de tomar seu caminho disco rígido e dados. Por exemplo, se for uma máquina de quiosque em uma sala de Internet com boa segurança física (câmeras de segurança, guardas de segurança, proprietários / funcionários vigilantes), uma determinada pessoa ainda pode tentar roubar fisicamente a máquina ou seu disco rígido, mas provavelmente falhou.
Eliah Kagan 11/11
4
Como um ponto separado, se você roubar o disco rígido de uma máquina cujos dados são criptografados, seria necessário decifrar a criptografia para acessar os dados e, com senhas de boa qualidade, isso pode ser proibitivamente difícil ... ou talvez até impossível.
Eliah Kagan 11/11
-2

Você pode fazer com que, mesmo em um caso de redefinição, o "redefinidor" não consiga ver os dados.

Para fazer isso, basta criptografar /home.

Se você deseja fazer com que a redefinição não seja possível, é necessário remover algo, que é responsável por alterar a senha.

Canguru
fonte
O acesso aos seus arquivos pessoais não é a única preocupação. Se, por exemplo, sua conta tiver sudoprivilégios, eles não precisam /homecausar grandes danos.
26717 Kevin