Recientemente, uno de mis amigos vino a mi casa, en 15 minutos pirateó mi cuenta usando un Live CD y restableció la contraseña frente a mí. Estaba desconcertado de ver tal cosa. Por favor, guíenme para evitar un intento futuro con un Live CD.
Recientemente, uno de mis amigos vino a mi casa, en 15 minutos pirateó mi cuenta usando un Live CD y restableció la contraseña frente a mí. Estaba desconcertado de ver tal cosa. Por favor, guíenme para evitar un intento futuro con un Live CD.
Respuestas:
Una forma rápida y fácil de hacer esto es deshabilitar el arranque desde CD y memorias USB en su BIOS y establecer una contraseña de BIOS.
De acuerdo con esta página wiki :
Colocar contraseñas o bloquear elementos del menú (en los archivos de configuración de Grub) no impide que un usuario arranque manualmente usando los comandos ingresados en la línea de comandos de grub.
Sin embargo, no hay nada que impida que alguien robe su disco duro y lo monte en otra máquina, o que reinicie su BIOS quitando la batería, o uno de los otros métodos que un atacante puede usar cuando tiene acceso físico a su máquina.
Una mejor manera sería encriptar su unidad, puede hacerlo encriptando su directorio personal o encriptando todo el disco:
Párese junto a su computadora mientras sostiene un bate de tee-ball. Golpea severamente a cualquiera que se acerque.
O encerrarlo.
Si su computadora es físicamente accesible, no es segura.
El procedimiento de protección con contraseña de grub2 puede ser bastante complicado y, si se equivoca, existe la posibilidad de quedarse con un sistema no arrancable. Por lo tanto, siempre haga primero una copia de seguridad de la imagen de su disco duro. Mi recomendación sería usar Clonezilla , otra herramienta de respaldo como PartImage también podría usarse.
Si desea practicar esto, use un invitado de máquina virtual que puede revertir una instantánea.
El siguiente procedimiento protege la edición no autorizada de la configuración de Grub durante el arranque; es decir, presionar epara editar le permite cambiar las opciones de arranque. Podría, por ejemplo, forzar el arranque al modo de usuario único y así tener acceso a su disco duro.
Este procedimiento debe usarse junto con el cifrado del disco duro y una opción de arranque seguro de BIOS para evitar el arranque desde un CD en vivo como se describe en la respuesta asociada a esta pregunta.
Casi todo lo que se encuentra debajo se puede copiar y pegar una línea a la vez.
Primero hagamos una copia de seguridad de los archivos grub que estaremos editando - abra una sesión de terminal:
sudo mkdir /etc/grub.d_backup
sudo cp /etc/grub.d/* /etc/grub.d_backup
Vamos a crear un nombre de usuario para grub:
gksudo gedit /etc/grub.d/00_header &
Desplácese hasta la parte inferior, agregue una nueva línea vacía y copie y pegue lo siguiente:
cat << EOF
set superusers="myusername"
password myusername xxxx
password recovery 1234
EOF
En este ejemplo, se crearon dos nombres de usuario : myusername y recovery
Siguiente: navegue de regreso a la terminal (no cierre gedit
):
Solo usuarios de Natty y Oneiric
Genere una contraseña cifrada escribiendo
grub-mkpasswd-pbkdf2
Ingrese su contraseña que usará dos veces cuando se le solicite
Your PBKDF2 is grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646
Lo que nos interesa comienza grub.pbkdf2...
y terminaBBE2646
Resalte esta sección con el mouse, haga clic derecho y copie esto.
Vuelva a su gedit
aplicación: resalte el texto "xxxx" y reemplácelo con lo que copió (haga clic derecho y pegue)
es decir, la línea debería verse como
password myusername grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646
todas las versiones de buntu (lúcidas y superiores)
Guarde y cierre el archivo.
Finalmente, necesita proteger con contraseña cada entrada de menú de grub (todos los archivos que tienen una línea que comienza la entrada ):
cd /etc/grub.d
sudo sed -i -e '/^menuentry /s/ {/ --users myusername {/' *
Esto agregará una nueva entrada --users myusername
a cada línea.
Ejecute update-grub para regenerar su grub
sudo update-grub
Cuando intente editar una entrada de grub, le pedirá su nombre de usuario, es decir, mi nombre de usuario y la contraseña que utilizó.
Reinicie y pruebe que el nombre de usuario y la contraseña se aplican al editar todas las entradas de grub.
Nota: recuerde presionar SHIFTdurante el arranque para mostrar su grub.
Contraseña que protege el modo de recuperación
Todo lo anterior se puede solucionar fácilmente utilizando el modo de recuperación.
Afortunadamente, también puede forzar un nombre de usuario y contraseña para usar la entrada del menú del modo de recuperación. En la primera parte de esta respuesta, creamos un nombre de usuario adicional llamado recuperación con una contraseña de 1234 . Para usar este nombre de usuario, necesitamos editar el siguiente archivo:
gksudo gedit /etc/grub.d/10_linux
cambiar la línea de:
printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
A:
if ${recovery} ; then
printf "menuentry '${title}' --users recovery ${CLASS} {\n" "${os}" "${version}"
else
printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi
Cuando use recovery use el nombre de usuario recovery y la contraseña 1234
Ejecuta sudo update-grub
para regenerar tu archivo grub
Reinicie y pruebe que se le solicite como nombre de usuario y contraseña cuando intente iniciar en modo de recuperación.
Más información: http://ubuntuforums.org/showthread.php?t=1369019
printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
para la recuperación, sino una similar dentro de una función if. ¿Podría aconsejar cómo editarlo?
Es importante recordar que si alguien tiene acceso físico a su máquina, siempre podrá hacer cosas en su PC. Cosas como bloquear la carcasa de su PC y las contraseñas del BIOS no evitarán que una persona determinada tome su disco duro y sus datos de todos modos.
Puede hacerlo de modo que incluso en caso de reinicio, el "reiniciador" no pueda ver los datos.
Para hacer esto, solo encripte /home
.
Si desea hacerlo para que no sea posible restablecerlo, es necesario eliminar algo, que se encarga de cambiar la contraseña.
sudo
privilegios, no es necesario /home
que causen daños importantes.