物理アクセスによるハッキングができないようにラップトップを保護するにはどうすればよいですか？

以前にシステムを台無しにして、Ubuntuを起動すると黒い画面が表示されました。ラップトップを起動したときに、grubメニューからリカバリオプションを選択し、ルートターミナルでフォールバックを選択しました。add userコマンドを使用できることがわかりました。これを使用すると、おそらく自分のマシンで特権ユーザーを作成できます。

それはセキュリティ上の問題ではありませんか？

ラップトップを盗まれて、起動時にリカバリを選択し、別のユーザーを追加することもできました。データを含む。

考えてみると、そのエントリを何らかの方法で削除したとしても、ライブCDから起動して起動し、chrootすべてのデータを表示できる適切な特権を持つ別のユーザーを追加できます。

HD、USB、CD / DVD、ネットワークスタートアップのみで起動するようにBIOSを設定し、BIOSパスワードを設定する場合、それは重要ではありません。

中国、ロシアの誰かがネットワークから私のUbuntu Trusty Tahrをハッキングできないことはかなり確かです。しかし、私のマシンに物理的にアクセスできるのであれば、そのため、この質問をしています。物理的なアクセスによるハッキングが不可能になるようにマシンを保護するにはどうすればよいですか？

バグレポート：

• バグ＃283662「「リカバリモード」-bootでログインプロンプトがない」：バグ：Ubuntu

私の推測では、強力なアルゴリズムと最も重要なパスワードを使用した完全なディスク暗号化のみが、ローカルに保存されたデータを保護できる唯一のものです。これにより、おそらく99.99％のセキュリティが得られます。これを行う方法については、多くのガイドのいずれかを参照してください。

それ以外に、物理的なアクセスがある経験豊富なハッカーからマシンを保護することはできません。

• ユーザー/アカウントパスワード：
  自分で説明したように、この方法でパスワードを要求されることなくルートシェルを取得するため、回復モードで起動する場合、新しい管理ユーザーを作成するのは簡単です。
  これは偶発的なセキュリティ問題のように見えるかもしれませんが、管理者パスワードを紛失したり、sudoコマンドやその他の重要なものを台無しにしたりする場合のリカバリケースを想定しています。

• rootパスワード：
  Ubuntuはデフォルトでrootユーザーのパスワードを設定していません。ただし、1つを設定することができ、リカバリモードで起動する場合は要求されます。これはかなり安全に思えますが、最終的に安全なソリューションではありません。single init=/bin/bashシングルユーザーモードで起動するUbuntuを起動する前に、GRUBを介してカーネルパラメーターを追加することができます。これは実際にはパスワードなしのルートシェルです。

• GRUBメニューをパスワードで
  保護する： GRUBメニューエントリを認証後にのみアクセスできるように保護できます。つまり、パスワードなしでリカバリモードの起動を拒否できます。これにより、カーネルパラメーターの操作も防止されます。詳細については、help.ubuntu.comのGrub2 / Passwordsサイトを参照してください。これは、外部メディアから起動するか、HDDを別のマシンに直接接続する場合にのみバイパスできます。

• BIOSの外部メディアからの起動を無効にする：
  起動順序を設定し、通常、現在の多くのBIOS / UEFIバージョンでデバイスを起動から除外できます。ただし、すべてのユーザーがセットアップメニューに入ることができるため、これらの設定は保護されません。ここでもパスワードを設定する必要がありますが、...

• BIOSパスワード：
  通常、BIOSパスワードもバイパスできます。いくつかの方法があります。

  • コンピューターのケースを開き、CMOSバッテリーを物理的に取り外すか、「Clear CMOS」ジャンパーを一時的に設定して、CMOSメモリー（BIOS設定が保存されている）をリセットします。
  • サービスキーの組み合わせでBIOS設定をリセットします。ほとんどのマザーボードメーカーは、めちゃくちゃになったBIOS設定をパスワードを含むデフォルト値にリセットするために、サービスマニュアルでキーの組み合わせを説明しています。例としてはScreenUp、電源を入れたままにしておくことです。覚えているなら、オーバークロック設定を台無しにした後、AMI BIOSでacerマザーボードを一度ロック解除しました。
  • 最後に大事なことを言い忘れていましたが、実際に設定されたパスワードとは無関係に、常に機能しているように見えるデフォルトのBIOSパスワードがあります。私はそれをテストしませんでしたが、このサイトでは、製造元ごとに分類されたそれらのリストを提供しています。
    この情報とリンクについては、Rinzwindに感謝します！

• コンピューターのケースをロックする/マザーボードとハードディスクへの物理的なアクセスを拒否する：
  他のすべてが失敗しても、データ泥棒はあなたのラップトップ/コンピューターを開き、HDDを取り出して自分のコンピューターに接続することができます。マウントして、暗号化されていないすべてのファイルにアクセスすることは、そこから簡単なことです。安全にロックされたケースに入れて、だれもコンピューターを開けないようにする必要があります。しかし、これはラップトップでは不可能であり、デスクトップでは困難です。誰かがそれを開こうとすると内部に爆発物を吹き飛ばす自己破壊装置のようなアクションフィルムを所有することを考えることができますか？;-)しかし、メンテナンスのために自分で開く必要がないことを確認してください！

• フルディスク暗号化：
  この方法は安全であるとアドバイスしたことは知っていますが、ラップトップをオンにしたまま紛失した場合も100％安全ではありません。実行中のマシンをリセットした後、攻撃者がRAMから暗号化キーを読み取ることができる、いわゆる「コールドブート攻撃」があります。これにより、システムがアンロードされますが、電力が十分に不足しない限り、RAMの内容はフラッシュされません。
  この攻撃についてコメントしてくれたkosに感謝します！
  また、ここで彼の2番目のコメントを引用します。

  これは古いビデオですが、概念をよく説明しています。「忘れないで：暗号化キーに対するコールドブート攻撃」をYouTubeで。BIOSパスワードが設定されている場合、攻撃者はラップトップの電源を入れたままCMOSバッテリーを取り外して、重要な秒を失うことなくカスタムクラフトドライブを起動できます。これは最近、SSDのせいで怖いです。カスタムクラフトのSSDは、書き込み速度が150MB / sであることを考えると、おそらく1分未満で8GBをダンプすることができるからです。

  コールドブート攻撃を防止する方法に関する関連する、まだ未回答の質問：Ubuntuを有効にして（フルディスク暗号化を使用）、RAMにスリープ/サスペンドする前にLUKSsupendを呼び出すにはどうすればよいですか？

結論として：現在のところ、物理的なアクセスと悪意を持った人がラップトップを使用するのを保護するものは何もありません。すべてのデータを完全に暗号化できるのは、パスワードを忘れたりクラッシュしたりしてすべてを失う危険性が十分にある場合のみです。そのため、暗号化により、バックアップはさらに重要になります。ただし、それらも暗号化して、非常に安全な場所に配置する必要があります。
または、ラップトップを手放さないで、決して失わないことを望みます。;-)

データをあまり気にせず、ハードウェアをもっと気にするなら、GPSセンダを購入してケースにインストールしたいかもしれませんが、それは本当の妄想的な人や連邦政府のエージェントだけです。

最も安全なラップトップは、データのないラップトップです。独自のプライベートクラウド環境をセットアップし、重要なものをローカルに保存しないでください。

または、ハードドライブを取り出してテルミットで溶かします。これは技術的には質問に答えますが、ラップトップを使用できなくなるため、最も実用的ではないかもしれません。しかし、それらのかつて不明瞭なハッカーもそうではありません。

これらのオプションがなければ、ハードドライブを二重暗号化し、USBサムドライブを接続して暗号化を解除する必要があります。USBサムドライブには、1セットの復号化キーが含まれ、BIOSにはもう1セットが含まれています-もちろん、パスワードで保護されています。一時停止からの起動/再開中にUSBサムドライブが接続されていない場合は、これを自動データ自己破壊ルーチンと組み合わせます。常にUSBサムドライブを携行してください。この組み合わせは、XKCD＃538にも対応しています。

ディスクを暗号化します。これにより、ラップトップが盗まれた場合にシステムとデータが安全になります。そうでなければ：

• BIOSパスワードは役に立たない：泥棒は簡単にコンピューターからディスクを抽出し、それを別のPCに置いてブートすることができます。
• ユーザー/ルートパスワードも役に立たない：泥棒は上記のようにディスクを簡単にマウントし、すべてのデータにアクセスできます。

LVMをセットアップできるLUKSパーティションを作成することをお勧めします。ブートパーティションを暗号化せずに残しておくと、パスワードを1回入力するだけで済みます。これは、改ざんされるとシステムが簡単に侵害される可能性があることを意味します（盗まれ、気付かないうちにあなたに戻されます）。マフィア、これについて心配するべきではありません。

Ubuntuインストーラーは、LUKS + LVMを使用して非常に簡単で自動化された方法でインストールするオプションを提供します。インターネットにはすでに多くのドキュメントがありますので、ここに詳細を再投稿することはありません。:-)

注目に値するハードウェアソリューションがいくつかあります。

まず、一部のLenovoビジネスラップトップなどの一部のラップトップには、ケースが開かれたことを検出する改ざん検出スイッチが付いています。Lenovoでは、この機能をBIOSで有効にし、管理者パスワードを設定する必要があります。改ざんが検出された場合、ラップトップはすぐにシャットダウンし、（起動すると）警告を表示し、管理パスワードと適切なACアダプターが必要です。一部の改ざん検出器も可聴アラームを作動させ、電子メールを送信するように構成できます。

改ざん検出は、改ざんを実際には防止しません（ただし、RAMからデータを盗むことを難しくする可能性があります。また、改ざん検出は、CMOSバッテリーを取り外そうとするような危険なものを検出すると、デバイスを「ブリック」する可能性があります）。主な利点は、知らないうちに誰かがハードウェアを密かに改ざんできないことです。フルディスク暗号化などの強力なソフトウェアセキュリティを設定している場合、ハードウェアの改ざんは間違いなく残りの攻撃ベクトルの1つです。

別の物理的セキュリティは、一部のラップトップをドックにロックできることです。ドックがテーブルにしっかりと取り付けられ（ラップトップの下にあるネジを介して）、使用されていないときにラップトップがドックにロックされたままになっている場合、追加の物理的保護が提供されます。もちろん、これは決意した泥棒を止めることはありませんが、自宅や職場からラップトップを盗むことは間違いなく難しくなりますが、ロックされている間は完全に使用できます（そして周辺機器、イーサネットなどをドックに接続できます）。

もちろん、これらの物理的な機能は、それらを持たないラップトップを保護するのに役立ちません。ただし、セキュリティを意識している場合は、ラップトップを購入する際に検討する価値があるかもしれません。

ディスクの暗号化に加えて（それを回避することはできません）：-SELinuxおよびTRESOR。どちらもLinuxカーネルを強化し、攻撃者がメモリから情報を読み取ることを困難にします。

あなたがそれをしている間：私たちは今、あなたのデビットカード情報を欲しがっている邪悪なランダムな人たちの恐怖（彼らはそうしません）だけでなく、しばしば十分なintelligence報機関の領土に入ります。その場合、もっとやりたいことがあります：

• PCからすべてのクローズドソース（ファームウェアも）をパージしてみてください。これにはUEFI / BIOSが含まれます！
• 新しいUEFI / BIOSとしてtianocore / corebootを使用します
• 独自のキーでSecureBootを使用します。

できることは他にもたくさんありますが、それらはくすぐるのに必要なものを合理的な量で提供すべきです。

忘れないでください： xkcd ;-)

質問を少し変更したため、変更された部分に対する私の答えは次のとおりです。

物理的なアクセスによるハッキングが不可能になるようにマシンを保護するにはどうすればよいですか？

回答：できません

改ざん検出、暗号化など、多くの高度なハードウェアおよびソフトウェアシステムがありますが、それはすべてこれになります。

データを保護することはできますが、誰かがアクセスしたハードウェアを保護することはできません。そして、他の誰かがアクセスした後もハードウェアを使い続けると、データが危険にさらされます！

誰かがそれを開こうとするとRAMをクリアし、フルディスク暗号化を使用し、暗号化されたデータのバックアップを別の場所に保存する改ざん検出機能付きの安全なノートブックを使用します。次に、ハードウェアへの物理的アクセスをできる限り難しくします。しかし、誰かがあなたのハードウェアにアクセスできたと思うなら、それを拭いて捨ててください。

次の質問は次のとおりです。改ざんされていない新しいハードウェアを入手するにはどうすればよいですか。

HDD / SSDにATAパスワードを使用します

これにより、パスワードなしでディスクを使用できなくなります。つまり、パスワードなしではMBRまたはESPにアクセスできないため、パスワードなしでは起動できません。また、ディスクが別のマシン内で使用されている場合、パスワードは必要です。

そのため、HDD / SSDにいわゆるユーザーATAパスワードを使用できます。これは通常、BIOS内で設定されます（ただし、これはBIOSパスワードではありません）。

セキュリティを強化するために、ディスクにもマスターATAパスワードを設定できます。製造者パスワードの使用を無効にします。

cliでもこれを行うことができますhdparm。

パスワードを失うとすべてのデータを失う可能性があるため、特に注意が必要です。

http://www.admin-magazine.com/Archive/2014/19/Using-the-ATA-security-features-of-modern-hard-disks-and-SSDs

注：ATAパスワードを回復すると主張するソフトウェア、または削除することさえ主張するソフトウェアがあるため、ここにも弱点があります。そのため、100％安全でもありません。

注：ATAパスワードには必ずしもFED（Full Disk Encryption）が付属しているわけではありません