Récemment, un de mes amis est venu chez moi. En 15 minutes, il a piraté mon compte à l'aide d'un CD Live et a réinitialisé le mot de passe devant moi. J'étais déconcerté de voir une telle chose. Veuillez me guider pour empêcher une telle tentative à l'avenir en utilisant un CD Live.
Réponses
Trop de publicités?Un moyen simple et rapide d'y parvenir est de désactiver le démarrage à partir de CD et de clés USB dans votre BIOS et de définir un mot de passe BIOS.
Selon cette page du wiki :
Placer des mots de passe ou verrouiller des éléments de menu (dans les fichiers de configuration Grub) n'empêche pas un utilisateur de démarrer manuellement à l'aide de commandes saisies sur la ligne de commande Grub.
Cependant, rien n'empêche quelqu'un de voler votre disque dur et de le monter sur une autre machine, ou de réinitialiser votre BIOS en retirant la batterie, ou l'une des autres méthodes qu'un attaquant peut utiliser lorsqu'il a un accès physique à votre machine.
Une meilleure solution serait de crypter votre disque, soit en cryptant votre répertoire personnel, soit en cryptant l'ensemble du disque :
D'abord l'avertissement...
La procédure de protection par mot de passe de grub2 peut être assez délicate et si vous vous trompez, vous risquez de vous retrouver avec un système non amorçable. Ainsi toujours Faites d'abord une sauvegarde complète de votre disque dur. Je vous recommande d'utiliser Clonezilla - un autre outil de sauvegarde tel que _PartImage_ pourrait également être utilisé.
Si vous voulez pratiquer cela, utilisez une machine virtuelle invitée qui vous permet de revenir en arrière sur un instantané.
commençons
La procédure ci-dessous protège la modification non autorisée des paramètres de Grub pendant le démarrage - c'est-à-dire en appuyant sur e pour modifier vous permet de changer les options de démarrage. Vous pouvez, par exemple, forcer le démarrage en mode mono-utilisateur et ainsi avoir accès à votre disque dur.
Cette procédure doit être utilisée en conjonction avec le cryptage du disque dur et une option de démarrage bios sécurisé pour empêcher le démarrage à partir d'un live cd, comme décrit dans la réponse associée à cette question.
presque tout ce qui suit peut être copié et collé une ligne à la fois.
Tout d'abord, sauvegardons les fichiers Grub que nous allons modifier - ouvrez une session terminal :
sudo mkdir /etc/grub.d_backup
sudo cp /etc/grub.d/* /etc/grub.d_backup
Créons un nom d'utilisateur pour Grub :
gksudo gedit /etc/grub.d/00_header &
Faites défiler jusqu'en bas, ajoutez une nouvelle ligne vide et copiez et collez ce qui suit :
cat << EOF
set superusers="myusername"
password myusername xxxx
password recovery 1234
EOF
Dans cet exemple, deux noms d'utilisateur ont été créés : mon nom d'utilisateur y récupération
Ensuite, retournez au terminal (ne fermez pas la fenêtre). gedit
) :
Utilisateurs de Natty et Oneiric uniquement
Générez un mot de passe crypté en tapant
grub-mkpasswd-pbkdf2
Entrez votre mot de passe que vous utiliserez deux fois lorsque vous y serez invité.
Your PBKDF2 is grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646
La partie qui nous intéresse commence grub.pbkdf2...
et se termine BBE2646
Mettez cette section en surbrillance à l'aide de votre souris, faites un clic droit et copiez-la.
Revenez à votre gedit
application - mettez en évidence le texte "xxxx" et remplacez-le par ce que vous avez copié (clic droit et coller)
c'est-à-dire que la ligne devrait ressembler à
password myusername grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646
toutes les versions de 'buntu (lucid et plus)
Enregistrez et fermez le fichier.
Enfin, vous devez protéger par mot de passe chaque entrée du menu Grub (tous les fichiers qui ont une ligne qui commence par entrée de menu ) :
cd /etc/grub.d
sudo sed -i -e '/^menuentry /s/ {/ --users myusername {/' *
Cela ajoutera une nouvelle entrée --users myusername
à chaque ligne.
Exécutez update-Grub pour régénérer votre Grub.
sudo update-grub
Lorsque vous essayez d'éditer une entrée Grub, il vous demandera votre nom d'utilisateur, c'est à dire mon nom d'utilisateur et le mot de passe que vous avez utilisé.
Redémarrez et testez que le nom d'utilisateur et le mot de passe sont appliqués lors de l'édition de toutes les entrées de Grub.
N.B. : n'oubliez pas d'appuyer sur SHIFT pendant le démarrage pour afficher votre Grub.
Mode de récupération protégé par un mot de passe
Tous ces problèmes peuvent être facilement résolus en utilisant le mode de récupération.
Heureusement, vous pouvez également forcer un nom d'utilisateur et un mot de passe pour utiliser l'entrée de menu du mode de récupération. Dans la première partie de cette réponse, nous créons un nom d'utilisateur supplémentaire appelé récupération avec un mot de passe de 1234 . Pour utiliser ce nom d'utilisateur, nous devons modifier le fichier suivant :
gksudo gedit /etc/grub.d/10_linux
changer la ligne de :
printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
A :
if ${recovery} ; then
printf "menuentry '${title}' --users recovery ${CLASS} {\n" "${os}" "${version}"
else
printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi
Lors de la récupération, utilisez le nom d'utilisateur récupération et le mot de passe 1234
Exécuter sudo update-grub
pour régénérer votre fichier Grub
Redémarrez et vérifiez que le nom d'utilisateur et le mot de passe vous sont demandés lorsque vous essayez de démarrer en mode de récupération.
Plus d'informations - http://ubuntuforums.org/showthread.php?t=1369019
Il est important de se rappeler que si quelqu'un a un accès physique à votre machine, il sera toujours en mesure de faire des choses sur votre PC. Des choses comme le verrouillage du boîtier de votre PC et les mots de passe du BIOS n'empêcheront pas une personne déterminée de s'emparer de votre disque dur et de vos données de toute façon.
En bref, vous avez besoin :
- Le plus important : Le cryptage complet du disque avec luks. Cela protège l'extraction du stockage matériel et les attaques de démarrage sur CD-ROM/USB externe. Le chiffrement du répertoire personnel n'est pas suffisant.
- Définissez le mot de passe du BIOS. Ceci est important car /boot est toujours non crypté, et plus important encore lorsque vous stockez des mots de passe dans le TPM.
- Facultatif : définir Grub mot de passe.
- Réponses précédentes
- Plus de réponses