Wie kann ich verhindern, dass jemand mein Passwort mit einer Live-CD zurücksetzt?


55

Kürzlich kam einer meiner Freunde zu mir nach Hause, innerhalb von 15 Minuten hackte er meinen Account mit einer Live-CD und setzte das Passwort vor mir zurück. Ich war verblüfft, so etwas zu sehen. Bitte leiten Sie mich, einen solchen zukünftigen Versuch mit einer Live-CD zu verhindern.


10
Ziehen Sie das optische Laufwerk heraus.
Anonym

7
Es könnte Sie interessieren zu wissen, dass es möglich ist, dasselbe in Windows zu tun. Als ich an einer großen Universität im IT-Bereich arbeitete, hatte ich eine CD dabei, damit ich dies bei Bedarf tun konnte. Kein Computer ist wirklich sicher, wenn man von einem anderen Medium booten kann.
Kelley

4
Eine hohle Stimme flüsterte "Full Disk Encryption".
Joshua

Antworten:


56

Eine schnelle und einfache Möglichkeit, dies zu tun, besteht darin, das Booten von CDs und USB-Sticks in Ihrem BIOS zu deaktivieren und ein BIOS-Passwort festzulegen.

Laut dieser Wiki-Seite :

Das Einfügen von Kennwörtern oder das Sperren von Menüelementen (in den Grub-Konfigurationsdateien) hindert einen Benutzer nicht daran, manuell mit den in der Grub-Befehlszeile eingegebenen Befehlen zu starten.

Es hält jedoch niemanden davon ab, Ihre Festplatte zu stehlen und auf einem anderen Computer zu installieren oder Ihr BIOS durch Entfernen des Akkus oder eine der anderen Methoden zurückzusetzen, die ein Angreifer anwenden kann, wenn er physischen Zugriff auf Ihren Computer hat.

Ein besserer Weg wäre, Ihr Laufwerk zu verschlüsseln. Sie können dies entweder durch Verschlüsseln Ihres Home-Verzeichnisses oder durch Verschlüsseln der gesamten Festplatte tun:


2
Dies ist nicht ausreichend - Sie müssen auch den Wiederherstellungsmodus deaktivieren und GRUB2 sperren, damit die Startoptionen nicht angegeben werden können (oder ohne Eingabe eines Kennworts nicht angegeben werden können). Sobald dies alles erledigt ist, hindert es nicht nur jemanden daran, die Festplatte zu stehlen, sondern jemand, der den Computer öffnet, kann das BIOS-Kennwort deaktivieren, und jemand, der den Computer nicht öffnen möchte, kann vermutlich nur den gesamten Computer stehlen.
Eliah Kagan

aber kumpel was ist wenn jemand gerade meine festplatte geöffnet hat / etc / shadow mein verschlüsseltes passwort geändert und dann neu gestartet hat das das verschlüsselte heimverzeichnis auch für ihn geöffnet wird
coder

10
@shariq Wenn jemand Ihr Passwort nur in / etc / shadow ändert, wird das verschlüsselte Home-Verzeichnis nicht geöffnet, wenn sich jemand mit dem neuen Passwort anmeldet. In diesem Fall müsste das verschlüsselte Basisverzeichnis manuell mit dem alten Kennwort bereitgestellt werden, und wenn niemand das alte Kennwort kennt, müsste es geknackt werden, was schwierig wäre und mit einiger Wahrscheinlichkeit fehlschlagen würde. Wenn Sie Ihr Basisverzeichnis verschlüsseln, wird durch Ändern Ihres Kennworts durch Bearbeiten von / etc / shadow das Kennwort, mit dem Ihre Daten verschlüsselt werden, nicht geändert.
Eliah Kagan

@EliahKagan Ich kann keine Informationen dazu finden, daher habe ich die Wiki-Seite zitiert. Wenn Sie weitere Informationen finden, können Sie diese gerne in meine Antwort einfügen.
Jorge Castro

6
+1 Das allererste, was mir in den Sinn kam, war das Home-Verzeichnis zu verschlüsseln.
Nathan Osman

50

Stellen Sie sich neben Ihren Computer, während Sie einen Abschlag halten. Schlage jeden, der in die Nähe kommt, hart.

Oder schließen Sie es ab.

Wenn Ihr Computer physisch zugänglich ist, ist er unsicher.


18
Wie schützt uns das vor den Männern mit großen Hunden und Maschinengewehren? : D
jrg

3
Sichern Sie den Computer mit Hunden und verwenden Sie Überwachungskameras, um Hunde und Bewegungsgewehre im Nebenzimmer zu schützen.
Kangarooo

3
+1 für den Ernst dieser Antwort. Sie haben hier wirklich gute Arbeit geleistet und die Stimmen verdient.
RolandiXor

1
+1 für die tolle Antwort und die Kommentare. Ich konnte mich einfach nicht aufhalten, laut zu lachen !! : D :) @jrg war von seiner besten Seite.
Saurav Kumar

26

Zuerst die Warnung ...

Das Passwortschutzverfahren für grub2 kann sehr schwierig sein, und wenn Sie einen Fehler machen, besteht die Möglichkeit, dass Sie mit einem nicht bootfähigen System zurückbleiben. Erstellen Sie daher immer zuerst ein vollständiges Image-Backup Ihrer Festplatte. Meine Empfehlung wäre, Clonezilla zu verwenden - ein anderes Backup-Tool wie PartImage könnte ebenfalls verwendet werden.

Wenn Sie dies üben möchten, verwenden Sie einen Gast der virtuellen Maschine, mit dem Sie einen Snapshot zurücksetzen können.

Lass uns anfangen

Das folgende Verfahren schützt das unbefugte Bearbeiten der Grub-Einstellungen während des Bootens. Wenn Sie ezum Bearbeiten drücken , können Sie die Boot-Optionen ändern. Sie können beispielsweise das Booten in den Einzelbenutzermodus erzwingen und so Zugriff auf Ihre Festplatte erhalten.

Dieses Verfahren sollte in Verbindung mit der Festplattenverschlüsselung und einer sicheren BIOS-Startoption verwendet werden, um zu verhindern, dass von einer Live-CD gebootet wird, wie in der zugehörigen Antwort auf diese Frage beschrieben.

Fast alles darunter kann zeilenweise kopiert und eingefügt werden.

Lassen Sie uns zuerst die zu bearbeitenden Grub-Dateien sichern - öffnen Sie eine Terminalsitzung:

sudo mkdir /etc/grub.d_backup
sudo cp /etc/grub.d/* /etc/grub.d_backup

Lass uns einen Benutzernamen für grub erstellen:

gksudo gedit /etc/grub.d/00_header &

Scrolle nach unten, füge eine neue leere Zeile hinzu und kopiere und füge Folgendes ein:

cat << EOF
set superusers="myusername"
password myusername xxxx
password recovery 1234
EOF

In diesem Beispiel wurden zwei Benutzernamen erstellt: Mein Benutzername und Wiederherstellung

Weiter - navigiere zurück zum Terminal (nicht schließen gedit):

Nur für Natty- und Oneiric-Benutzer

Generieren Sie ein verschlüsseltes Kennwort, indem Sie Folgendes eingeben

grub-mkpasswd-pbkdf2

Geben Sie Ihr Passwort ein, das Sie zweimal verwenden werden, wenn Sie dazu aufgefordert werden

Your PBKDF2 is grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

Das Stück, an dem wir interessiert sind, beginnt grub.pbkdf2...und endetBBE2646

Markieren Sie diesen Bereich mit der Maus, klicken Sie mit der rechten Maustaste und kopieren Sie ihn.

Wechseln Sie zurück zu Ihrer geditAnwendung - markieren Sie den Text "xxxx" und ersetzen Sie diesen durch das, was Sie kopiert haben (Rechtsklick und Einfügen)

dh die Linie sollte so aussehen

password myusername grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

alle 'buntu versionen (lucid und höher)

Speichern und schließen Sie die Datei.

Schließlich müssen Sie jeden Grub-Menüeintrag mit einem Passwort schützen (alle Dateien, deren Zeile mit menuentry beginnt ):

cd /etc/grub.d
sudo sed -i -e '/^menuentry /s/ {/ --users myusername {/' *

Dadurch wird --users myusernamejeder Zeile ein neuer Eintrag hinzugefügt .

Führen Sie update-grub aus, um Ihren Grub neu zu generieren

sudo update-grub

Wenn Sie versuchen, einen Grub-Eintrag zu bearbeiten, werden Sie nach Ihrem Benutzernamen, dh meinem Benutzernamen, und dem von Ihnen verwendeten Passwort gefragt .

Starten Sie neu und testen Sie, ob der Benutzername und das Kennwort erzwungen werden, wenn Sie alle Grub-Einträge bearbeiten.

Denken Sie daran, SHIFTwährend des Startvorgangs zu drücken , um Ihre Auswahl anzuzeigen.

Wiederherstellungsmodus mit Passwortschutz

Alle oben genannten Punkte können im Wiederherstellungsmodus problemlos umgangen werden.

Glücklicherweise können Sie auch einen Benutzernamen und ein Kennwort erzwingen, um den Menüeintrag für den Wiederherstellungsmodus zu verwenden. Im ersten Teil dieser Antwort erstellen wir einen zusätzlichen Benutzernamen mit dem Namen recovery und dem Kennwort 1234 . Um diesen Benutzernamen zu verwenden, müssen wir die folgende Datei bearbeiten:

gksudo gedit /etc/grub.d/10_linux

Ändern Sie die Zeile von:

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

Zu:

if ${recovery} ; then
   printf "menuentry '${title}' --users recovery ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi 

Wenn Recovery den Benutzernamen verwenden , mit Erholung und das Passwort 1234

Führen Sie aus sudo update-grub, um Ihre Grub-Datei neu zu generieren

Starten Sie neu und testen Sie, ob Sie beim Versuch, in den Wiederherstellungsmodus zu starten, zur Eingabe von Benutzername und Kennwort aufgefordert werden.


Weitere Informationen - http://ubuntuforums.org/showthread.php?t=1369019


Hallo! Ich habe Ihr Tutorial befolgt und es funktioniert ... außer wenn Sie andere Versionen wählen, bei denen Sie die Taste "E" ohne Passwort verwenden können
gsedej

Raring hat nicht die Zeile printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"für die Wiederherstellung, sondern eine ähnliche Zeile in einer if-Funktion. Könnten Sie raten, wie man es bearbeitet?
Papukaija

5

Es ist wichtig, sich daran zu erinnern, dass jemand, der physischen Zugriff auf Ihr Gerät hat, immer in der Lage ist, Dinge mit Ihrem PC zu tun. Dinge wie das Sperren Ihres PC-Gehäuses und BIOS-Passwörter hindern eine bestimmte Person nicht daran, Ihre Festplatte und Daten zu entnehmen.


3
Unter bestimmten Umständen diese Dinge werden beendet , auch eine bestimmte Person von Ihrer Festplatte und Daten Weg. Wenn es sich beispielsweise um einen Kioskcomputer in einem Internetcafé mit guter physischer Sicherheit handelt (Sicherheitskameras, Sicherheitspersonal, wachsamer Besitzer / Angestellte), versucht eine entschlossene Person möglicherweise immer noch, den Computer oder die Festplatte zu stehlen, dies ist jedoch wahrscheinlich Scheitern.
Eliah Kagan

4
Wenn Sie die Festplatte von einem Computer stehlen, dessen Daten verschlüsselt sind, müssen Sie die Verschlüsselung aufheben, um auf die Daten zuzugreifen. Mit qualitativ hochwertigen Passwörtern ist dies möglicherweise unerschwinglich schwierig ... oder sogar unmöglich.
Eliah Kagan

-2

Sie können festlegen, dass der "Resetter" die Daten auch beim Zurücksetzen nicht sehen kann.

Dazu verschlüsseln Sie einfach /home.

Wenn Sie sicherstellen möchten, dass das Zurücksetzen nicht möglich ist, müssen Sie etwas entfernen, das für die Änderung des Kennworts zuständig ist.


Der Zugriff auf Ihre persönlichen Dateien ist nicht das einzige Problem. Wenn Ihr Konto beispielsweise über sudoBerechtigungen verfügt , muss /homees keinen größeren Schaden anrichten.
Kevin
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.