¿Cómo puedo evitar que alguien restablezca mi contraseña con un Live CD?

55

Recientemente, uno de mis amigos vino a mi casa, en 15 minutos pirateó mi cuenta usando un Live CD y restableció la contraseña frente a mí. Estaba desconcertado de ver tal cosa. Por favor, guíenme para evitar un intento futuro con un Live CD.

security password live-cd descifrador
fuente
10
Desenchufe la unidad de disco óptico.
Anónimo
77
Puede interesarle saber que es posible hacer lo mismo en Windows; Cuando trabajaba en TI en una universidad grande, tenía un CD conmigo que me permitía hacerlo si era necesario. Ninguna computadora es realmente segura si uno puede arrancar desde otros medios.
Kelley
44
Una voz hueca susurró "cifrado de disco completo".
Joshua

Respuestas:

56

Una forma rápida y fácil de hacer esto es deshabilitar el arranque desde CD y memorias USB en su BIOS y establecer una contraseña de BIOS.

De acuerdo con esta página wiki :

Colocar contraseñas o bloquear elementos del menú (en los archivos de configuración de Grub) no impide que un usuario arranque manualmente usando los comandos ingresados ​​en la línea de comandos de grub.

Sin embargo, no hay nada que impida que alguien robe su disco duro y lo monte en otra máquina, o que reinicie su BIOS quitando la batería, o uno de los otros métodos que un atacante puede usar cuando tiene acceso físico a su máquina.

Una mejor manera sería encriptar su unidad, puede hacerlo encriptando su directorio personal o encriptando todo el disco:

Jorge Castro
fuente
2
Eso no es suficiente: también debe deshabilitar el modo de recuperación y bloquear GRUB2 para que no se puedan especificar las opciones de arranque (o no se pueden especificar sin ingresar una contraseña). Una vez hecho todo esto, no solo no impide que alguien robe el disco duro, sino que alguien que abre la computadora puede deshabilitar la contraseña del BIOS, y alguien que no quiere abrir la computadora puede presumiblemente robar toda la computadora.
Eliah Kagan
pero amigo, ¿y si alguien acaba de abrir mi disco duro? / etc / shadow cambió mi contraseña encriptada y luego reinició, el directorio de inicio encriptado también se abrirá para él
codificador
10
@shariq Si alguien cambia su contraseña solo en / etc / shadow, el directorio de inicio cifrado no se abrirá cuando alguien inicie sesión con la nueva contraseña. En ese caso, el directorio de inicio encriptado tendría que montarse manualmente con la contraseña anterior, y si nadie conocía la contraseña anterior, tendría que descifrarse, lo que sería difícil y de alguna manera podría fallar. Cuando encripta su directorio personal, cambiar su contraseña editando / etc / shadow no cambia la contraseña con la que se encriptan sus datos.
Eliah Kagan
@EliahKagan No puedo obtener información sobre cómo hacerlo, así que he citado la página wiki, si encuentras más información, siéntete libre de editarla en mi respuesta.
Jorge Castro
66
+1 Lo primero que se me ocurrió fue cifrar el directorio de inicio.
Nathan Osman el
50

Párese junto a su computadora mientras sostiene un bate de tee-ball. Golpea severamente a cualquiera que se acerque.

O encerrarlo.

Si su computadora es físicamente accesible, no es segura.

mdebusk
fuente
18
¿Cómo nos protege esto de los hombres con perros grandes y ametralladoras? : D
jrg
3
computadora segura con perros y cámaras de seguridad el uso de perros en proteger y cuarto siguiente movimiento pistolas
Kangarooo
3
+1 por la seriedad de esta respuesta. Realmente hiciste un buen trabajo aquí y mereces los votos.
RolandiXor
1
¡+1 por la excelente respuesta y los comentarios ... simplemente no pude evitar reírme a carcajadas! : D :) @jrg estaba en su mejor momento .. ja ja ja .. :) Es bueno ver este tipo de cosas en askubuntu.
Saurav Kumar
26

Primero la advertencia ...

El procedimiento de protección con contraseña de grub2 puede ser bastante complicado y, si se equivoca, existe la posibilidad de quedarse con un sistema no arrancable. Por lo tanto, siempre haga primero una copia de seguridad de la imagen de su disco duro. Mi recomendación sería usar Clonezilla , otra herramienta de respaldo como PartImage también podría usarse.

Si desea practicar esto, use un invitado de máquina virtual que puede revertir una instantánea.

vamos a empezar

El siguiente procedimiento protege la edición no autorizada de la configuración de Grub durante el arranque; es decir, presionar epara editar le permite cambiar las opciones de arranque. Podría, por ejemplo, forzar el arranque al modo de usuario único y así tener acceso a su disco duro.

Este procedimiento debe usarse junto con el cifrado del disco duro y una opción de arranque seguro de BIOS para evitar el arranque desde un CD en vivo como se describe en la respuesta asociada a esta pregunta.

Casi todo lo que se encuentra debajo se puede copiar y pegar una línea a la vez.

Primero hagamos una copia de seguridad de los archivos grub que estaremos editando - abra una sesión de terminal:

sudo mkdir /etc/grub.d_backup
sudo cp /etc/grub.d/* /etc/grub.d_backup

Vamos a crear un nombre de usuario para grub:

gksudo gedit /etc/grub.d/00_header &

Desplácese hasta la parte inferior, agregue una nueva línea vacía y copie y pegue lo siguiente:

cat << EOF
set superusers="myusername"
password myusername xxxx
password recovery 1234
EOF

En este ejemplo, se crearon dos nombres de usuario : myusername y recovery

Siguiente: navegue de regreso a la terminal (no cierre gedit):

Solo usuarios de Natty y Oneiric

Genere una contraseña cifrada escribiendo

grub-mkpasswd-pbkdf2

Ingrese su contraseña que usará dos veces cuando se le solicite

Your PBKDF2 is grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

Lo que nos interesa comienza grub.pbkdf2...y terminaBBE2646

Resalte esta sección con el mouse, haga clic derecho y copie esto.

Vuelva a su geditaplicación: resalte el texto "xxxx" y reemplácelo con lo que copió (haga clic derecho y pegue)

es decir, la línea debería verse como

password myusername grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

todas las versiones de buntu (lúcidas y superiores)

Guarde y cierre el archivo.

Finalmente, necesita proteger con contraseña cada entrada de menú de grub (todos los archivos que tienen una línea que comienza la entrada ):

cd /etc/grub.d
sudo sed -i -e '/^menuentry /s/ {/ --users myusername {/' *

Esto agregará una nueva entrada --users myusernamea cada línea.

Ejecute update-grub para regenerar su grub

sudo update-grub

Cuando intente editar una entrada de grub, le pedirá su nombre de usuario, es decir, mi nombre de usuario y la contraseña que utilizó.

Reinicie y pruebe que el nombre de usuario y la contraseña se aplican al editar todas las entradas de grub.

Nota: recuerde presionar SHIFTdurante el arranque para mostrar su grub.

Contraseña que protege el modo de recuperación

Todo lo anterior se puede solucionar fácilmente utilizando el modo de recuperación.

Afortunadamente, también puede forzar un nombre de usuario y contraseña para usar la entrada del menú del modo de recuperación. En la primera parte de esta respuesta, creamos un nombre de usuario adicional llamado recuperación con una contraseña de 1234 . Para usar este nombre de usuario, necesitamos editar el siguiente archivo:

gksudo gedit /etc/grub.d/10_linux

cambiar la línea de:

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

A:

if ${recovery} ; then
   printf "menuentry '${title}' --users recovery ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi

Cuando use recovery use el nombre de usuario recovery y la contraseña 1234

Ejecuta sudo update-grubpara regenerar tu archivo grub

Reinicie y pruebe que se le solicite como nombre de usuario y contraseña cuando intente iniciar en modo de recuperación.

Más información: http://ubuntuforums.org/showthread.php?t=1369019

fossfreedom
fuente
¡Hola! Seguí tu tutorial y funciona ... excepto si eliges otras versiones, donde puedes usar la tecla "E" sin contraseña
gsedej
Raring no tiene la línea printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"para la recuperación, sino una similar dentro de una función if. ¿Podría aconsejar cómo editarlo?
papukaija
5

Es importante recordar que si alguien tiene acceso físico a su máquina, siempre podrá hacer cosas en su PC. Cosas como bloquear la carcasa de su PC y las contraseñas del BIOS no evitarán que una persona determinada tome su disco duro y sus datos de todos modos.

globos
fuente
3
En algunas circunstancias, estas cosas evitarán que incluso una persona determinada tome su disco duro y datos. Por ejemplo, si se trata de una máquina de quiosco en un cibercafé con buena seguridad física (cámaras de seguridad, guardias de seguridad, propietarios / empleados vigilantes), una persona determinada aún podría intentar robar físicamente la máquina o su disco duro, pero probablemente fallar.
Eliah Kagan
44
Como punto separado, si robas el disco duro de una máquina cuyos datos están encriptados, entonces tendrías que descifrar el encriptado para acceder a los datos, y con contraseñas de buena calidad, hacerlo podría ser prohibitivamente difícil ... o tal vez incluso imposible.
Eliah Kagan
-2

Puede hacerlo de modo que incluso en caso de reinicio, el "reiniciador" no pueda ver los datos.

Para hacer esto, solo encripte /home.

Si desea hacerlo para que no sea posible restablecerlo, es necesario eliminar algo, que se encarga de cambiar la contraseña.

Canguro
fuente
El acceso a sus archivos personales no es la única preocupación. Si, por ejemplo, su cuenta tiene sudoprivilegios, no es necesario /homeque causen daños importantes.
Kevin