So sichern Sie den Grub-Wiederherstellungsmodus

14

Wenn ich das System über das GRUB-Menü in den Wiederherstellungsmodus starte, kann ich auf alle leistungsstarken Root-Benutzer zugreifen, ohne ein Kennwort eingeben zu müssen. Dies ist unsicher.

Wie kann ich dies sichern und sicherstellen, dass bei jedem Versuch, im Wiederherstellungsmodus auf root zuzugreifen, ein Kennwort abgefragt wird?

security grub2 Jamess
quelle
Benötigen Sie weitere Abklärungen?
Erik Johansson
Kann jemand bitte klären, wie dies in 14.04 LTS zu tun ist? Ich habe es versucht, indem ich den Anweisungen unter help.ubuntu.com/community/Grub2/Passwords#Password_Encryption gefolgt bin, sodass das Kennwort nicht im Klartext gespeichert wurde und der Computer überhaupt nicht gestartet werden konnte - das Kennwort wurde nicht erkannt. Außerdem möchte ich ALLES Booten nicht mit einem Passwort schützen, sondern nur wiederherstellen. Ja, ich weiß, dass es nicht ganz sicher ist, aber ich habe eine Anforderung, die von oben an die passwortgeschützte Wiederherstellung weitergegeben wird.
Betseyb

Antworten:

9

In Ubuntu-Foren gibt es einen Beitrag zum Schutz von Einträgen durch ein Passwort. Damit Sie sich bei den Wiederherstellungsmenüs als Superman mit dem Passwort 1234 anmelden müssen, müssen Sie einige sehr haarige Konfigurations- / Skriptdateien bearbeiten:

Fügen Sie /etc/grub.d/00_header hinzu

cat << EOF
set superusers="superman"
password superman 1234
password bill 5678
EOF

Ändern Sie /etc/grub.d/10_linux

Von: 

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

Zu:

if ${recovery} ; then
   printf "menuentry '${title}' --users superman ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi

Schutz zu perfektionieren ist zutiefst schwierig

Andere Dinge, die Sie tun müssen, sind, Ihr BIOS mit einem Passwort zu schützen, das Booten von etwas anderem als der primären Festplatte zu deaktivieren, Ihre Root-Partition zu verschlüsseln und jede andere Partition als noexec bereitzustellen. Dies hinterlässt immer noch viele Vektoren.

Erik Johansson
quelle
Das sieht vielversprechend aus. Werde das überprüfen.
Jamess
Ich kann diese Zeile überhaupt nicht finden @ Ron
Randol Albert
2

Die einzige zuverlässige Möglichkeit, das System vor einem Angreifer zu schützen, der physischen Zugriff auf den Computer hat, ist die Festplattenverschlüsselung.

Adam Byrtek
quelle
Oder sperren Sie das BIOS
Reuben Swartz
1
Es ist trivial, das BIOS-Passwort zurückzusetzen, sobald Sie Zugriff auf die Hardware haben. Eine mit einer guten Passphrase verschlüsselte Festplatte (immun gegen Wörterbuchangriffe) bleibt jedoch sicher, solange AES sicher ist.
Adam Byrtek
Nicht ganz einfach, da Sie häufig Werkzeuge und einen anderen Computer benötigen, um dies zu tun.
Erik Johansson
Es hängt alles von einem Bedrohungsmodell ab.
Adam Byrtek
0

Sie können Ihre Daten nicht schützen, wenn sie nicht verschlüsselt sind, aber Sie können rootBenutzer schützen . Wenn jemand versucht, auf Ihre Festplatte zuzugreifen recovery mode, benötigt er ein Passwort.

Legen Sie das root-Passwort fest

sudo passwd root #set new password for user named root

Testen Sie den Root-Zugriff

su
Shantanu
quelle