誰かがLive CDでパスワードをリセットしないようにするにはどうすればよいですか?


55

最近、私の友人の1人が私の場所に来て、15分以内に彼がLive CDを使用して私のアカウントをハッキングし、私の目の前でパスワードをリセットしました。私はそのようなことを見て困惑しました。Live CDを使用したこのような将来の試みを防ぐために私を導いてください。


10
光ディスクドライブを取り外します。
匿名

7
Windowsでも同じことを行うことができることを知っておくと興味深いかもしれません。大規模な大学のIT部門で働いていたとき、必要に応じてCDを手に入れました。他のメディアから起動できるコンピュータは、本当に安全ではありません。
ケリー

4
虚ろな声が「フルディスク暗号化」をささやきました。
ジョシュア

回答:


56

これをすばやく簡単に行うには、BIOSでCDおよびUSBスティックからの起動を無効にし、BIOSパスワードを設定します。

このwikiページによると:

(Grub構成ファイル内の)パスワードの配置またはメニュー項目のロックは、grubコマンドラインで入力されたコマンドを使用してユーザーが手動で起動することを妨げません。

ただし、誰かがハードドライブを盗んで別のマシンにマウントしたり、バッテリーを取り外してBIOSをリセットしたり、攻撃者がマシンに物理的にアクセスしているときに使用できる他の方法の1つを阻止することはできません。

より良い方法は、ドライブを暗号化することです。ホームディレクトリを暗号化するか、ディスク全体を暗号化することで、これを行うことができます。


2
それだけでは十分ではありません。起動オプションを指定できないように(またはパスワードを入力せずに指定できないように)、リカバリモードを無効にしてGRUB2をロックダウンする必要もあります。これがすべて完了すると、だれかがハードドライブを盗むのを止めるだけでなく、コンピューターを開く人がBIOSパスワードを無効にでき、コンピューターを開きたくない人はおそらくコンピューター全体を盗むことができます。
エリアケイガン

しかし、誰かが私のハードディスクを開いて/ etc / shadowを開いて暗号化されたパスワードを変更し、再起動すると暗号化されたホームディレクトリも彼のために開きます
コーダー

10
@shariq誰かが/ etc / shadowでパスワードを変更すると、誰かが新しいパスワードでログオンしたときに暗号化されたホームディレクトリが開きません。その場合、暗号化されたホームディレクトリは古いパスワードを使用して手動でマウントする必要があり、誰も古いパスワードを知らない場合はクラックする必要があり、これは困難であり、失敗する可能性があります。ホームディレクトリを暗号化する場合、/ etc / shadowを編集してパスワードを変更しても、データの暗号化に使用するパスワード変更されませ
エリアケイガン

@EliahKaganそれを行う方法についての情報は何もありませんので、ウィキページを引用しました。さらに情報があれば、自由に編集して回答に追加してください。
ホルヘカストロ

6
+1最初に思いついたのは、ホームディレクトリの暗号化でした。
ネイサンオスマン

50

ティーボールバットを持ってコンピューターの横に立ってください。近づいた人をひどく打ち負かします。

またはロックします。

コンピュータが物理的にアクセス可能な場合、安全ではありません。


18
これは大きな犬と機関銃を持つ男性から私たちをどのように保護しますか?:D
jrg

3
コンピュータを犬で保護し、セキュリティカメラを使用して犬と隣の部屋のモーションガンを保護する
Kangarooo

3
この答えの深刻さのために+1。あなたはここで本当に良い仕事をして、投票に値します。
RolandiXor

1
素晴らしい回答とコメントを得るために+1。:D :) @jrgは最高でした..ハハハ.. :) askubuntuでこのタイプのものを見るのは良いことです。
Sauravクマール

26

最初の警告...

grub2のパスワード保護手順は非常に難しい場合があります。間違えた場合は、起動できないシステムを使用する可能性があります。したがって、常に最初にハードドライブのフルイメージバックアップを作成してください。Clonezillaを使用することをお勧めします-PartImageなどの別のバックアップツールも使用できます。

これを練習したい場合は、スナップショットをロールバックできる仮想マシンゲストを使用してください。

さぁ、始めよう

以下の手順は、ブート中のGrub設定の不正な編集を保護します-つまり、e編集するために押すと、ブートオプションを変更できます。たとえば、強制的にシングルユーザーモードで起動し、ハードディスクにアクセスできます。

この手順は、この質問に対する関連する回答で説明されているように、ハードディスク暗号化および安全なBIOSブートオプションと組み合わせて使用​​して、ライブCDからの起動を防止する必要があります。

以下のほとんどすべてを一度に1行ずつコピーして貼り付けることができます。

最初に、編集するgrubファイルをバックアップします-ターミナルセッションを開きます。

sudo mkdir /etc/grub.d_backup
sudo cp /etc/grub.d/* /etc/grub.d_backup

grubのユーザー名を作成しましょう:

gksudo gedit /etc/grub.d/00_header &

一番下までスクロールし、新しい空の行を追加して、次をコピーして貼り付けます。

cat << EOF
set superusers="myusername"
password myusername xxxx
password recovery 1234
EOF

この例では、myusernamerecoveryの 2つのユーザー名が作成されました

次-ターミナルに戻ります(閉じないでくださいgedit):

NattyおよびOneiricユーザーのみ

入力して暗号化されたパスワードを生成する

grub-mkpasswd-pbkdf2

プロンプトが表示されたら2回使用するパスワードを入力します

Your PBKDF2 is grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

興味のある部分は始まりgrub.pbkdf2...と終わりですBBE2646

マウスを使用してこのセクションを強調表示し、右クリックしてコピーします。

geditアプリケーションに切り替えます-テキスト「xxxx」を強調表示し、これをコピーしたものに置き換えます(右クリックして貼り付けます)

すなわち、行は次のようになります

password myusername grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

すべての 'buntuバージョン(明luc以上)

ファイルを保存して閉じます。

最後に、各grubメニューエントリ(menuentryで始まる行を持つすべてのファイル)をパスワードで保護する必要があります。

cd /etc/grub.d
sudo sed -i -e '/^menuentry /s/ {/ --users myusername {/' *

これにより、--users myusername各行に新しいエントリが追加されます。

update-grubを実行してgrubを再生成します

sudo update-grub

grubエントリを編集しようとすると、ユーザー名(myusernameと使用したパスワード)が要求されます。

再起動して、すべてのgrubエントリを編集するときにユーザー名とパスワードが適用されていることをテストします。

注意:SHIFTブート中にを押して、grubを表示することを忘れないでください。

パスワード保護回復モード

回復モードを使用すると、上記のすべてを簡単に回避できます。

幸いなことに、回復モードのメニューエントリを使用するようにユーザー名とパスワードを強制することもできます。この回答の最初の部分では、パスワードが1234であるrecoveryという追加のユーザー名を作成します。このユーザー名を使用するには、次のファイルを編集する必要があります。

gksudo gedit /etc/grub.d/10_linux

次の行を変更します。

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

に:

if ${recovery} ; then
   printf "menuentry '${title}' --users recovery ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi 

回復を使用する場合は、ユーザー名の回復とパスワード1234を使用します

実行sudo update-grubしてgrubファイルを再生成します

再起動し、回復モードで起動しようとするときにユーザー名とパスワードとして要求されていることをテストします。


詳細情報-http://ubuntuforums.org/showthread.php ? t = 1369019


こんにちは!私はあなたのチュートリアルに従って、それはあなたが他のバージョンを選択した場合を除き、パスワードなしで「E」キーを使用することができる場所...作品
gsedej

Raringにはprintf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"回復のためのラインはありませんが、if関数内に同様のラインがあります。編集方法を教えてください。
パプカイジャ

5

誰かがあなたのマシンに物理的にアクセスできる場合、彼らは常にあなたのPCに何かをすることができることを覚えておくことが重要です。PCケースやBIOSパスワードをロックするようなことは、決心した人があなたのハードドライブやデータをとることをとにかく止めることはありません。


3
状況によっては、これらのこと、決心した人でさえあなたのハードドライブとデータの道を取ること止めます。たとえば、インターネットカフェのキオスクマシンで物理的なセキュリティが良好な場合(セキュリティカメラ、警備員、用心深い所有者/書記官)、決心した人はまだマシンまたはそのハードドライブを物理的に盗もうとしますが、不合格。
エリアケイガン

4
別の点として、データが暗号化されているマシンからハードドライブを盗む場合、データにアクセスするには暗号化を解読する必要があり、質の高いパスワードを使用すると、非常に困難になる可能性があります...不可能な。
エリアケイガン

-2

リセットの場合でも、「リセッタ」がデータを見ることができないようにすることができます。

これを行うには、単に暗号化し/homeます。

リセットできないようにする場合は、何かを削除する必要があります。これはパスワードの変更を担当します。


個人ファイルへのアクセスだけが問題ではありません。たとえば、アカウントにsudo特権がある場合、/home大きな損害を与える必要はありません。
ケビン
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.