Grub2 safe ile herhangi bir Linux makinesine nasıl girilebilir?

Bilgisayarınıza fiziksel olarak erişen bir kişinin bu adımlarla kök salması yeteneği nasıl güvenli olabilir?

1. Grub2 menüsü açıldığında e , Linux başlangıç ​​seçeneklerini düzenlemek için basın .

2. Değişiklik:

   "linux   /vmlinuz-2.6.35-23-generic root=UUID=e7f1e48d-0015-485f-be7d-836217a31312 ro   quiet splash" 
   

   için:

   "linux   /vmlinuz-2.6.35-23-generic root=UUID=e7f1e48d-0015-485f-be7d-836217a31312 ro init=/bin/bash"
   

3. Artık root erişimine sahipsiniz:

   mount -o remount,rw /
   passwd user
   mount -o remount,ro / 
   sync
   

4. bilgisayarı yeniden başlattığınızda kazanırsınız.

Sorum şu ki, grub2 safe ile herhangi bir Linux makinesine nasıl girebilirim? Linux hakkındaki bu gerçeği anlamıyorum, cevaplarınız için teşekkür ederim.

Bilgisayarınıza fiziksel olarak erişen bir kişinin [Grub / Bash kullanarak] herhangi bir şekilde kök salması yeteneği nasıl güvenlidir?

Çünkü Linux bunu yapmaya karar verdiyse, bilgisayar korsanları diğer güvenlik açıklarından yararlanırlar. İlk güvenlik kuralı, eğer sisteminize fiziksel olarak erişebilirsem, oyun biter. Ben kazandım.

Ayrıca, X sunucunuzun bozulduğunu ve artık bir GUI'niz olmadığını hayal edin. Bir şeyleri düzeltmek için bir kurtarma konsoluna önyüklemeniz gerekir, ancak yapamazsınız, çünkü güvensiz. Bu durumda, tamamen kırık bir sistemden ayrıldınız, ama hey, en azından "güvenli!"

Ama Kaz, bu nasıl mümkün olabilir? Grubumda bir şifre belirledim, böylece benim initBash'i değiştiremezsin !

Oh, yaptın, değil mi? İlginç, çünkü bu fotoğraf albümünüze benziyor. GRUB hiçbir doğal güvenlik faktörüne sahip değildir. Bu sadece bir önyükleyici , güvenli önyükleme ve kimlik doğrulama zincirindeki bir adım değil. Ayarladığınız "şifre" aslında, atlamak için oldukça kolay.

Bu ve hangi sysadmin , acil durumlar için üzerlerinde önyükleme sürücüsü taşımaz?

Ama nasıl?! Şifremi bilmiyorsun (tamamen P@ssw0rdbtw değil )

Evet, ama bu beni bilgisayarınızı açmamdan ve sabit sürücünüzü çıkarmamdan alıkoymuyor. Oradan, sürücünüzü bilgisayarıma monte etmek için birkaç basit adım var, bu da tüm sistemime erişmemi sağlıyor. Bu aynı zamanda BIOS şifrenizi atlamanın da harika avantajına sahiptir. Ya da CMOS'unuzu sıfırlayabilirdim. Ya / veya.

Peki ... verilerime erişmene nasıl izin vermem?

Basit. Bilgisayarınızı benden uzak tutun. Dokunabilirsem, bir klavyeye erişebilirsem, kendi flash sürücülerimi yerleştirebilir veya parçalara ayırabilirsem, kazanabilirim.

Peki, bilgisayarımı veri merkezine koymayı sevebilir miyim? Bunlar oldukça güvenli, değil mi?

Evet, onlar. Ancak, insanların da hacklenebilir olduklarını unutuyorsunuz ve yeterince zaman ve hazırlık yapıldığında, muhtemelen bu veri merkezine girebilir ve bilgisayarınızdaki tüm bu tatlı, tatlı verileri sifon edebilirim. Ama ben dalıyorum. Burada gerçek çözümlerle uğraşıyoruz .

Tamam, sen benim blöfümü aradın. Bir veri merkezine koyamıyorum. Ana klasörümü veya başka bir şeyi şifreleyebilir miyim?

Tabi ki yapabilirsin! Bu senin bilgisayarın! Beni durdurmaya yardımcı olur mu? En ufak değil. /usr/bin/firefoxKendi kötü niyetli programım gibi , önemli bir şeyi değiştirebilirim . Firefox'u bir sonraki açışınızda, gizli verilerinizin tümü gizli bir yere gizli bir sunucuya aktarılıyor. Ve bilmeyeceksin bile. Veya, makinenize sık sık erişebiliyorsam, giriş klasörünüzü kopyalanacak /usr/share/nonsecrets/home/veya benzer (şifrelenmemiş) bir konuma ayarlayabilirim .

Tamam, tam disk şifrelemeden ne haber?

Bu ... aslında oldukça iyi. Ancak, henüz mükemmel değil! Sıkıştırılmış havanın güvenilir kutusunu kullanarak her zaman Soğuk Önyükleme Saldırısı yapabilirim. Veya, bir donanım keylogger'ını bilgisayarınıza takabilirim. Biri açıkça diğerinden daha kolay, ama yol gerçekten önemli değil.

Gelen büyük Vakaların çoğunda, bu iyi bir durak yerdir. Belki de TPM ile eşleştirin (aşağıda tartışılmıştır) ve siz altınsınız. Üç harfli bir kurumu ya da çok motive edici bir hacker'ı kızdırmadıysanız, hiç kimse bu aşamadan sonra gereken çabayı göstermeyecek.

Tabii ki, size hala bir PPA veya benzeri bir şeyler sunarak bazı kötü amaçlı yazılımları / arka kapıları yüklemenizi sağlayabilirim, ancak bu kullanıcı güveninin çok bulanık alanına girer.

Peki, iPhone'lar nasıl bu kadar güvende? Fiziksel erişime rağmen, yapabileceğin fazla bir şey yok.

Evet, evet ve hayır. Eğer yeterince motive olsaydım, flaş çipini okuyabilir ve ihtiyacım olan her şeyi alabilirdim. Ancak, iPhone'lar tamamen kilitli bir platform oldukları için temelde farklıdır. Ancak, aynı zamanda, kullanılabilirliği ve yıkıcı başarısızlıklardan kurtulma yeteneğini gerçekten feda ediyorsunuz. (Çok özel olarak tasarlanmış hariç) grub olmayan bir güvenlik sistemi bir zincir olması anlamına geliyordu. Aslında, çoğu Linux sisteminin güvenlik zincirleri önyükleme sonrası başlar, yani GRUB işini bitirdikten sonra.

Ayrıca, iPhone'larda şifreleme imzası zorunluluğu vardır (aşağıda da açıklanmıştır); bu, kötü amaçlı yazılımların telefonunuza yasal yollardan gizlice girmesini çok zorlaştırır.

Peki ya TPM / SmartCards / [buraya kripto teknolojisini ekleyin]?

Şimdi, fiziksel güvenliği denklemle eşleştiriyorsunuz, bu hala daha karmaşık bir hal alıyor. Ancak, bu gerçekten bir çözüm değil çünkü TPM'ler nispeten zayıf ve tüm şifreleme çipte gerçekleşmiyor. Eğer TPM'niz (bir şekilde) çip üzerinde şifreleme yaptığı yerde yeterince güçlü ise (bazı çok şık sabit disklerde bunun gibi bir şey vardır), anahtar hiç açığa çıkmaz ve soğuk başlatma saldırıları gibi şeyler imkansızdır. Ancak, anahtarlar (veya ham veriler) sistem veriyolunda hala mevcut olabilir, bu da yakalanabilecekleri anlamına gelir.

Buna rağmen, donanım keylogger'ım şifrenizi hala alabilir ve daha önce bahsettiğim Firefox'un kullandığı bir yazılımı kolayca bilgisayarınıza yükleyebilirim. Tek ihtiyacım olan evden / bilgisayardan belki bir saatliğine ayrılmak.

Şimdi, eğer TPM / smartcard'ınızı / her neyse yanınızda götürürseniz ve tüm şifreleme çip üzerinde yapılıyorsa (anahtarınız RAM’de saklanmadığı anlamına gelir), o zaman benim girmem benim için neredeyse imkansız hepsi, siz (kullanıcı) kaymadığı ve bir şeyleri unutmadığı sürece. Yani, (şifrelenmemiş) anahtarını sistem veriyolundan okumak için bir yol bulamazsam.

Ancak ya yasal olduklarından emin olmak için tüm programlarımda bir tür şifreleme / dijital imza zorunluluğu varsa?

Çeşitli akıllı telefon şirketleri tarafından gösterildiği gibi , güvenlikle başa çıkmak için çok iyi bir yol. Zararlı şeyler yapmak için makinenize bazı kodlar ekleme yeteneğimi iptal ettiniz, bu bir artı. Etkili bir şekilde, makinenize uzaktan kalıcı olarak erişme yeteneğimi devre dışı bıraktım, bu çok büyük bir artı.

Ancak, bu hala mükemmel bir yöntem değil! Dijital imza zorlama, bir tanesi için bir donanım keylogger'ını durdurmaz. Ayrıca tamamen hatasız olması gerekir, yani kendi sertifikamı kendi makinenin sertifika deposuna yüklememe izin veren bir istismar bulamam mümkün değil. Ayrıca, sisteminizde her çalıştırılabilir dosyanın imzalanması gerektiği anlamına gelir . El ile gitmek ve hepsini yapmak istemiyorsanız, Apt paketlerini ve her şey üzerinde dijital imzaları olan benzerlerini bulmak çok zor olacak. Benzer bir şekilde, bu imzasız çalıştırılabilir, yani kurtarma için meşru kullanımları engeller. Önemli bir şeyi kırarsanız ve düzeltmek için çalıştırılabilir (imzalı) bir dosya yoksa? Peki, sisteminize gidiyor.

Her iki durumda da, bunu Linux'ta yapma çabası temelde tamamen terkedilmiş durumda ve artık yeni çekirdekler için çalışmıyor, bu yüzden kendinizinkini yaratmanız gerekecek.

Yani seni bilgisayarımdan uzak tutmak imkansız mı?

Etkili, evet, özür dilerim. Fiziksel erişimim ve yeterli motivasyonum varsa, bir sisteme girmek her zaman mümkün. İstisna yok.

Gerçekte, gerçekte, çoğu kötü insan sadece bazı kedi resimleri için bu kadar ileri gitmeye çalışmaz. Tipik olarak, sadece tam disk şifreleme (veya sadece Linux çalıştıran!) Çoğu senaryo çocuğunun iki saniyelik şöhretlerini kazanmasını engellemek için yeterlidir.

TL; DR: Sadece güvenmediğiniz kişilerin bilgisayarınıza yakın olmasına izin vermeyin. Bu genellikle yeterince iyi.

Bağlamak istiyorsanız bir şifre kullanın . Bağlantıdan:

GRUB 2 Şifre Koruma Notları

Grub 2, aşağıdakiler için şifre gereksinimi belirleyebilir:

• Tüm menüler
• Özel menü
• Belirli kullanıcılar için: Örneğin, "Jane" kullanıcısı Ubuntu'ya erişebilir ancak yalnızca "super" kullanıcı "John" tarafından erişilebilen Windows kurtarma moduna erişemez.

• Yönetici, GRUB 2 sistem dosyalarını düzenleyerek parola korumasını manuel olarak etkinleştirmelidir.

• Kullanıcılar ve şifreler /etc/grub.d/00_headerya da başka bir GRUB 2 komut dosyasında tanımlanmalıdır.

• Tüm menü öğelerinin evrensel olarak korunması istenmedikçe, belirli girişler tanımlanmalıdır:

  • Grub 2 /etc/grub.d/komut dosyalarını 10_linuxve30_os-prober

  • Kullanıcı tarafından oluşturulan özel bir yapılandırma dosyasını elle düzenleyerek.

  • Yukarıdaki yöntemlerden herhangi biri, GRUB 2'nin güncelleme grubunu her çalıştırıldığında konfigürasyon dosyasına (grub.cfg) şifre gereksinimini otomatik olarak eklemesini sağlar.

  • Manuel olarak düzenleyerek /boot/grub/grub.cfg. Bu dosyadaki düzenlemeler update-grubçalıştırıldığında silinecek ve şifre koruması kaybolacaktır.

• Herhangi bir GRUB 2 şifre koruması etkinse, GRUB 2 komut satırına ve menü düzenleme modlarına erişmek için kullanıcı adı ve şifresi gerekir.

• Kullanıcı adı ve / veya şifre, Ubuntu oturum açma adı / şifresi ile aynı olmak zorunda değildir.
• GRUB 2'nin şifre şifreleme özelliği kullanılmadıkça, şifre okunabilir bir dosyada düz metin olarak saklanır. Bu özelliği kullanma hakkında bilgi için Parola Şifreleme bölümüne bakın.

Varsayılan olarak (!) Bu durumda kullanılabilirlik güvenliği yitirir. Etrafınızdaki insanlara güvenemezseniz, makineyi her zaman yanınızda bulundurun. Daha fazla güvenliğe ihtiyaç duyan insanlar şifrelerini zorunlu kılarak tüm sistemlerini şifrelemek eğilimindedir.

Kasıtlı kesen bununla başlar:

1. Grub2 menüsü açıldığında, linux start seçeneklerini düzenlemek için 'e' tuşuna basın

Ancak e, burada tartışıldığı gibi şifreyi koruyabilirsiniz : Önyükleme seçeneklerini düzenlemek yerine GRUB şifre korumasını işletim sistemi yükleme işlemine nasıl ekleyebilirim?

Grub şifresini, şifrede açıklandığı şekilde şifrelemek için ilave bir adım atabilirsiniz. Gerçekten de, evde Linux / Ubuntu kullanan nüfusun% 3'üyle (vahşi tahmin), Sistem Yöneticilerinin eişyerindeki üretim sistemlerindeki fonksiyonlara karşı koruma sağlamaları iyi bir fikirdir . Ubuntu'nun işyerinde kullanılması durumunda,% 30 ila 40'ı evde de kullanacağını ve belki de% 10'unun eev sistemlerinde nasıl yapılacağını öğreneceğini hayal ediyorum .

Sorunuz sayesinde daha fazlasını öğrendiler. Yine de yukarıdaki bağlantıyla birlikte Sistem Yöneticileri, üretim ortamlarını korumak için yapılacaklar listesinde başka bir görev üstlenir.

Grubun güvenliğini sağlamak için ona erişimi korumanız gerekir. Bu sadece bir sabit disk parolasıyla yapılabilir ve burada diskin kendisinde bulunan bellekte saklandığı disk güvenliği hakkında konuşuyorum. Disk okunamıyor veya yazılamıyor. Dolayısıyla gruba şifre olmadan erişilemez değil, verileriniz de öyle.

Parola diskin üzerinde depolandığından, başka bir sisteme taşınması bilgisayar korsanına yardımcı olmaz.

Şifresini bazı üreticilerin disklerinden kaldırabileceği bir yazılım var, ancak diski de etkili bir şekilde siliyor. Yani verileriniz hala güvende.