Cómo asegurar el modo de recuperación de grub

14

Cuando inicio el sistema en modo de recuperación desde el menú de GRUB, puedo acceder a todas las raíces poderosas sin ingresar ninguna contraseña, por lo tanto inseguro.

¿Cómo puedo asegurar esto y asegurarme de que se solicite una contraseña cada vez que intento acceder a la raíz en modo de recuperación?

security grub2 Jamess
fuente
¿Necesitas más aclaraciones?
Erik Johansson
¿Alguien puede aclarar cómo hacer esto en 14.04 LTS? Lo intenté, siguiendo las instrucciones en help.ubuntu.com/community/Grub2/Passwords#Password_Encryption, por lo que la contraseña no se almacenó en texto sin formato y no pude arrancar la máquina, no reconoció la contraseña. Además, no quiero proteger con contraseña TODOS los arranques, solo la recuperación. Sí, sé que no es del todo seguro, pero tengo un requisito transmitido desde arriba para la recuperación de protección con contraseña.
betseyb

Respuestas:

9

Hay una publicación en los foros de Ubuntu sobre la protección de las entradas por contraseña , básicamente para hacer que los elementos del menú de recuperación requieran que inicies sesión como superman con la contraseña 1234, debes editar algunos archivos de configuración / script muy complicados:

Añadir a /etc/grub.d/00_header

cat << EOF
set superusers="superman"
password superman 1234
password bill 5678
EOF

Cambiar /etc/grub.d/10_linux

Desde: 

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

A:

if ${recovery} ; then
   printf "menuentry '${title}' --users superman ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi

Perfeccionar la protección es profundamente difícil

Otras cosas que debe hacer es proteger con contraseña su BIOS, deshabilitar el arranque desde cualquier otra cosa que no sea el disco duro primario, y encriptar su partición raíz y montar cualquier otra partición como noexec. Esto todavía deja muchos vectores.

Erik Johansson
fuente
Eso parece prometedor. Lo comprobaré.
Jamess
No puedo encontrar esa línea nunca más @Ron
Randol Albert
2

La única forma confiable de proteger el sistema de un atacante que tiene acceso físico a la máquina es el cifrado de disco completo.

Adam Byrtek
fuente
O bloquear el BIOS
Reuben Swartz el
1
Es trivial restablecer la contraseña del BIOS una vez que tenga acceso al hardware. Sin embargo, un disco cifrado con una buena frase de contraseña (inmune a un ataque de diccionario) permanecerá seguro mientras AES lo sea.
Adam Byrtek
No es realmente fácil porque a menudo necesitarás herramientas y otra computadora para hacerlo.
Erik Johansson
Todo depende de un modelo de amenaza.
Adam Byrtek
0

No puede proteger sus datos si no están cifrados, pero puede proteger al rootusuario. Cuando alguien intenta acceder a su disco a través de recovery mode, él / ella necesita una contraseña.

establecer contraseña de root

sudo passwd root #set new password for user named root

prueba de acceso de root

su
shantanu
fuente