シングルユーザーモードでパスワードを要求するにはどうすればよいですか?
を押すと、シングルユーザーモード(またはそれが何であれ)で起動できることを学びました。 Ctrl+e Grub2メニューでsingleをブートスクリプトの正しい行に追加します。これはすべて良いです-私が何かを台無しにしたとき、それは私にたくさんの時間を節約しました:P
ただし、これを行うと、基本的に無料でルートアクセスを取得できることに気付きました。パスワードを入力したり、身元を証明する必要はありません。これは安全ではないと感じます-ブートスクリプトを編集するキーボードコマンドは一般的な知識であるため、コンピューターにアクセスできる人はだれでも(必要に応じて、電源ボタンを使用して)強制的にオフにし、再度オンにして、ブートスクリプトを編集してルートを取得できます私のコンピューターへのアクセス。
欲しくない.
シングルユーザーセッションのパスワードを強制するには、何を構成する必要がありますか?
(おそらく関係ないかもしれませんが、ログイン画面をスキップしてデスクトップを直接起動するように起動オプションを設定しました。 Sudoへのパスワードですが、だれにも簡単にrootアクセスを与えるという考えは好きではありません...)
rootユーザーのパスワードを設定すると、シングルユーザーモードでログインするためにもそのパスワードが必要になります。
buntuForumsのgrubにパスワードを追加する にはかなり徹底したガイドがあります。
おそらく、シングルユーザープロンプトに合わせて調整された他のオプションもありますが、そこで何かを処理しますが、実際にはセキュリティではありません。誰かがLiveスティックまたはCDを挿入するだけで、突然ルートアクセスとすべてのデータを取得できます。または、ディスクを引き出し(数秒かかります)、別のコンピューターに接続することもできます。
ちょっと妄想しましょう。以下に要する時間を考慮してください。
- コンピューターの側面を外し、
- ドライブからケーブルを取り外し、
- SATA-> USBアダプターを接続して、ドライブをラップトップにブリッジし、
- ドライブをマウントする
- 好きなものを変更
- 元のケーブルとPCケースを取り外して交換します。
物理的にアクセスすると、2分以内にデータにアクセスできなくなります。私とディスクの間に200本のネジが付いているラップトップの場合は、おそらくもう少し長くなります。貴重な機密データを持ち歩いている(または無人デスクトップに置いておく)場合、それは恐ろしいことです。
最良の抑止力は、LUKSのようなものを介したフルディスク暗号化です。
誰かが何かを試したとしても、デコードするのは悪夢です(バックアップを行わない場合、標準のデータ回復手法はnot動作することに注意してください)。彼らはサイトで何もする時間がありません、ディスククローンはほとんどのディスクで何時間もかかり、たとえディスクを持ち上げただけでも、パスワードやアカウントなどを変更することで安全でない可能性がありますそのディスク上のデータ。
サムドライブ上のキーファイルを使用したフルディスク暗号化は、プラグインされたままにしない限りそれを行います。
ロックグラブはカバーされています ここ 。必要なのはライブDVD/CD/Thumbdriveだけなので、grubをロックすることは信じられません。