GRUBリカバリモードを保護する方法

14

GRUBメニューからシステムをリカバリモードで起動すると、パスワードを入力せずにすべての強力なルートにアクセスできるため、安全ではありません。

これをセキュリティで保護し、回復モードでルートにアクセスしようとするたびにパスワードを要求されるようにするにはどうすればよいですか?

security  grub2 
ジェームズ
ソース
もう説明が必要ですか?
エリックヨハンソン
誰かが14.04 LTSでこれを行う方法を明確にできますか?help.ubuntu.com/community/Grub2/Passwords#Password_Encryptionの指示に従って試してみたので、パスワードはプレーンテキストで保存されず、マシンをまったく起動できませんでした-パスワードを認識できませんでした。また、すべてのブートをパスワードで保護するのではなく、回復するだけです。はい、完全に安全というわけではないことは知っていますが、パスワード保護による復旧には上から受け継がれる要件があります。
ベッツィエブ

回答:

9

パスワードエントリを保護することに関するUbuntuフォーラムの投稿があります。基本的に、回復メニュー項目を使用するには、いくつかの非常に毛深いconfig / scriptファイルを編集する必要があるパスワード1234でスーパーマンとしてログインする必要があります。

/etc/grub.d/00_headerに追加します

cat << EOF
set superusers="superman"
password superman 1234
password bill 5678
EOF

/etc/grub.d/10_linuxを変更します

から: 

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

に:

if ${recovery} ; then
   printf "menuentry '${title}' --users superman ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi

完全な保護は非常に難しい

他に必要なことは、BIOSをパスワードで保護し、プライマリハードドライブ以外からの起動を無効にし、ルートパーティションを暗号化し、他のパーティションをnoexecとしてマウントすることです。これはまだ多くのベクトルを残します。

エリック・ヨハンソン
ソース
それは有望に見えます。それを確認します。
ジェームズ
私はそのラインを見つけることができませんどのようなので、今まで@Ron
Randolアルバート
2

マシンに物理的にアクセスできる攻撃者からシステムを保護する唯一の信頼できる方法は、フルディスク暗号化です。

アダム・バーテク
ソース
またはBIOSロックダウン
ルーベン・シュワルツ
1
ハードウェアにアクセスしたら、BIOSパスワードをリセットするのは簡単です。ただし、AESが安全である限り、適切なパスフレーズで暗号化されたディスク(辞書攻撃に耐性)は安全なままです。
アダムByrtek
多くの場合、ツールと別のコンピューターが必要になるため、それほど簡単ではありません。
エリックヨハンソン
それはすべて脅威モデルに依存しています。
アダムByrtek
0

暗号化されていないデータは保護できませんが、rootユーザーは保護できます。誰かが経由でディスクにアクセスしようとしたときrecovery modeパスワードが必要です。

ルートパスワードを設定する

sudo passwd root #set new password for user named root

ルートアクセスをテストする

su
シャンタンヌ
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.