Comment sécuriser le mode de récupération grub

14

Lorsque je démarre le système en mode de récupération à partir du menu GRUB, je peux accéder à tous les root puissants sans entrer de mot de passe, donc pas sûr.

Comment puis-je sécuriser cela et m'assurer qu'un mot de passe est demandé à chaque fois que j'essaie d'accéder à root en mode de récupération?

security  grub2 
Jamess
source
Avez-vous besoin de plus de clarifications?
Erik Johansson
Quelqu'un peut-il préciser comment procéder dans 14.04 LTS? Je l'ai essayé, en suivant les instructions sur help.ubuntu.com/community/Grub2/Passwords#Password_Encryption afin que le mot de passe ne soit pas stocké en texte brut et n'a pas pu démarrer la machine du tout - il ne reconnaîtrait pas le mot de passe. De plus, je ne veux pas protéger par mot de passe TOUS les démarrages, juste la récupération. Oui, je sais que ce n'est pas entièrement sécurisé, mais j'ai une exigence transmise par le haut pour une récupération par mot de passe.
betseyb

Réponses:

9

Il y a un message sur les forums Ubuntu sur la protection des entrées par mot de passe , essentiellement pour que les menus de récupération nécessitent que vous vous connectiez en tant que superman avec le mot de passe 1234, vous devez modifier certains fichiers de configuration / script très velus:

Ajouter à /etc/grub.d/00_header

cat << EOF
set superusers="superman"
password superman 1234
password bill 5678
EOF

Modifiez /etc/grub.d/10_linux

De: 

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

À:

if ${recovery} ; then
   printf "menuentry '${title}' --users superman ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi

Perfectionner la protection est profondément difficile

Vous devez également protéger votre bios par mot de passe, désactiver le démarrage à partir d'autre chose que le disque dur principal, chiffrer votre partition racine et monter toute autre partition en tant que noexec. Cela laisse encore beaucoup de vecteurs.

Erik Johansson
source
Cela semble prometteur. Va vérifier ça.
Jamess
Je ne trouve pas cette ligne quoi que ce soit @Ron
Randol Albert
2

Le seul moyen fiable de protéger le système contre un attaquant ayant un accès physique à la machine est le chiffrement complet du disque.

Adam Byrtek
source
Ou verrouiller le BIOS
Reuben Swartz
1
Il est trivial de réinitialiser le mot de passe du BIOS une fois que vous avez accès au matériel. Cependant, un disque chiffré avec une bonne phrase secrète (à l'abri d'une attaque par dictionnaire) restera sécurisé tant que AES est sécurisé.
Adam Byrtek
Pas vraiment facile car vous aurez souvent besoin d'outils et d'un autre ordinateur pour le faire.
Erik Johansson
Tout dépend d'un modèle de menace.
Adam Byrtek
0

Vous ne pouvez pas protéger vos données si elles ne sont pas cryptées, mais vous pouvez protéger l' rootutilisateur. Lorsque quelqu'un essaie d'accéder à votre disque via recovery mode, il / elle a besoin d'un mot de passe.

définir le mot de passe root

sudo passwd root #set new password for user named root

tester l'accès root

su
shantanu
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.