web-dev-qa-db-ja.com

物理的なアクセスによるハッキングができないようにラップトップを保護するにはどうすればよいですか?

以前にシステムを台無しにして、Ubuntuを起動すると黒い画面が表示されました。ラップトップを起動したときに、grubメニューからリカバリオプションを選択し、root端末でフォールバックを選択しました。 add userコマンドを使用できることがわかりました。これを使用して、おそらく自分のマシンに特権ユーザーを作成できます。

これはセキュリティ上の問題ではありませんか?

私のラップトップを盗まれて、起動時にリカバリを選択して別のユーザーを追加することもできたのですが、そのとき私はうんざりしています。私のデータを含む。

考えてみてください。たとえそのエントリを何らかの方法で削除したとしても、ライブCDから起動し、chrootを起動して実行し、それからすべての自分を表示できる適切な特権を持つ別のユーザーを追加できますデータ。

HD、USB、CD/DVD、ネットワークスタートアップのみで起動するようにBIOSを設定し、BIOSパスワードを設定する場合、そのgrubリカバリスタートアップエントリがまだあるため、それは重要ではありません。

中国、ロシアの誰かがネットワークから私のUbuntu Trusty Tahrをハッキングできないことはかなり確信しています。しかし、私のマシンに物理的にアクセスできるのであれば、それで、私はこの質問をしているのです。物理的なアクセスによるハッキングが不可能になるようにマシンを保護するにはどうすればよいですか?

バグレポート:

14.04grub2securityencryption
73
blade19899

私の推測では、強力なアルゴリズムと最も重要なパスワードを使用した完全なディスク暗号化のみが、ローカルに保存されたデータを保護できる唯一のものであると思われます。これにより、おそらく99.99%のセキュリティが得られます。これを行う方法については、多くのガイドのいずれかを参照してください。

それ以外に、物理的なアクセスで経験豊富なハッカーからマシンを保護することは不可能です

  • ユーザー/アカウントのパスワード:
    自分で説明したように、この方法でパスワードを要求されることなくルートシェルを取得するため、リカバリモードで起動すると、新しい管理者ユーザーを簡単に作成できます。
    それは偶発的なセキュリティ問題のように見えるかもしれませんが、(誰がそれを考えていたでしょうか?)復旧ケースを対象としています。管理者パスワードを紛失したか、Sudoコマンドまたはその他の重要なものを台無しにしました。

  • ルートパスワード:
    Ubuntuはデフォルトでrootユーザーのパスワードを設定していません。ただし、1つを設定することができ、リカバリモードで起動する場合は要求されます。これはかなり安全に思えますが、最終的に安全なソリューションではありません。カーネルパラメータsingle init=/bin/bashthrough GRUBを追加して、シングルユーザーモードで起動するUbuntuを起動することができます。これは実際にはパスワードなしのルートシェルです。

  • パスワードでGRUBメニューを保護する:
    GRUBメニューエントリを認証後にのみアクセスできるように保護できます。つまり、パスワードなしでリカバリモードの起動を拒否できます。これにより、カーネルパラメーターの操作も防止されます。詳細については、 help.ubuntu.comのGrub2/Passwordsサイト を参照してください。これは、外部メディアから起動するか、HDDを別のマシンに直接接続する場合にのみバイパスできます。

  • BIOSの外部メディアからの起動を無効にします:
    起動順序を設定し、通常、現在の多くのBIOS/UEFIバージョンでデバイスを起動から除外できます。ただし、すべてのユーザーがセットアップメニューに入ることができるため、これらの設定は保護されません。ここでもパスワードを設定する必要がありますが、...

  • BIOSパスワード:
    通常、BIOSパスワードもバイパスできます。いくつかの方法があります。

    • コンピューターのケースを開き、CMOSバッテリーを物理的に取り外すか、「CMOSクリア」ジャンパーを一時的に設定して、CMOSメモリー(BIOS設定が保存されている)をリセットします。
    • サービスキーの組み合わせでBIOS設定をリセットします。ほとんどのマザーボードメーカーは、めちゃくちゃになったBIOS設定をパスワードを含むデフォルト値にリセットするために、サービスマニュアルでキーの組み合わせを説明しています。例は、保持することです ScreenUp 電源をオンにしながら、もし覚えていれば、オーバークロック設定を台無しにした後、AMI BIOSでAcerマザーボードを一度ロック解除しました。
    • 最後に大事なことを言い忘れましたが、実際に設定されたパスワードとは無関係に、常に機能しているように見えるデフォルトのBIOSパスワードのセットがあります。私はそれをテストしませんでしたが、 このサイト はメーカーごとに分類されたそれらのリストを提供します。
      この情報とリンクについてRinzwindに感謝します!

  • コンピューターケースをロックする/マザーボードとハードディスクへの物理的アクセスを拒否する:
    他のすべてが失敗しても、データ泥棒はラップトップ/コンピューターを開き、HDDを取り出して自分のコンピューターに接続できます。マウントして、すべての暗号化されていないファイルにアクセスすることは、そこから簡単なことです。安全にロックされたケースに入れて、だれもコンピューターを開けないようにする必要があります。しかし、これはラップトップでは不可能であり、デスクトップでは困難です。誰かがそれを開こうとすると内部に爆発物を吹き飛ばす自己破壊装置のようなアクション映画を所有することを考えることができるでしょうか? ;-)しかし、メンテナンスのために自分で開く必要がないことを確認してください!

  • フルディスク暗号化:
    この方法は安全であるとアドバイスしたことは承知していますが、ラップトップを使用中に紛失した場合も100%安全ではありません。実行中のマシンをリセットした後、攻撃者がRAMから暗号化キーを読み取ることができる、いわゆる「コールドブート攻撃」があります。これによりシステムがアンロードされますが、電力が不足している時間のRAM内容はフラッシュされません。
    この攻撃についてコメントしてくれたkosに感謝します!
    また、ここで彼の2番目のコメントを引用します。

    これは古いビデオですが、コンセプトをよく説明しています。 YouTubeの「忘れないで:暗号化キーに対するコールドブート攻撃」 ; BIOSパスワードを設定している場合、ラップトップの電源を入れたまま攻撃者がCMOSバッテリーを取り外して、重要な秒を失うことなくカスタムクラフトドライブを起動できます。これは最近、SSDにより怖いです。カスタムクラフトのSSDは、書き込み速度が150MB/sであることを考慮すると、おそらく1分未満で8GBをダンプすることができるからです。

    関連するが、コールドブート攻撃を防ぐ方法に関する未回答の質問: RAMにスリープ/サスペンドする前に、Ubuntu(フルディスク暗号化を使用して)LUKSsupendを有効にするにはどうすればよいですか?

結論として、現在のところ、物理的なアクセスと悪意を持った人がラップトップを使用するのを保護するものは何もありません。すべてのデータを完全に暗号化できるのは、パスワードを忘れたりクラッシュしたりしてすべてを失う危険性が十分にある場合だけです。そのため、暗号化により、バックアップはさらに重要になります。ただし、これらも暗号化して、非常に安全な場所に配置する必要があります。
またはラップトップを手放さないでください。 ;-)

データを気にせず、ハードウェアに関心がある場合は、GPSセンダを購入してケースにインストールすることをお勧めしますが、それは本当の妄想的な人や連邦政府のエージェントのみです。

86
Byte Commander

最も安全なラップトップは、データのないラップトップです。独自のプライベートクラウド環境をセットアップし、重要なものをローカルに保存しないでください。

または、ハードドライブを取り出してテルミットで溶かします。これは技術的には質問に答えますが、ラップトップを使用できなくなるため、最も実用的ではないかもしれません。しかし、それらの常に曖昧なハッカーもそうではありません。

これらのオプションがなければ、ハードドライブを二重暗号化し、USBサムドライブを接続して暗号化を解除する必要があります。 USBサムドライブには、1セットの復号化キーが含まれ、BIOSにはもう1セットが含まれています-もちろん、パスワードで保護されています。一時停止からの起動/再開中にUSBサムドライブが接続されていない場合は、自動データ自己破壊ルーチンと組み合わせてください。常にUSBサムドライブを携行してください。この組み合わせは、たまたま XKCD#538 にも対応しています。

XKCD #538

11
E. Diaz

ディスクを暗号化します。これにより、ラップトップが盗まれた場合にシステムとデータが安全になります。そうでなければ:

  • BIOSパスワードは役に立たない:泥棒は簡単にコンピューターからディスクを抽出し、別のPCに置いて起動することができます。
  • ユーザー/ルートパスワードも役に立たない:泥棒は上記のように簡単にディスクをマウントし、すべてのデータにアクセスできます。

LVMをセットアップできるLUKSパーティションを作成することをお勧めします。ブートパーティションを暗号化せずに残しておくと、パスワードを1回入力するだけで済みます。これは、改ざんされるとシステムが簡単に侵害される可能性があることを意味します(盗まれ、気付かないうちにあなたに戻されます)。マフィア、これについて心配するべきではありません。

Ubuntuインストーラーは、LUKS + LVMを使用して非常に簡単で自動化された方法でインストールするオプションを提供します。インターネットにはすでに多くのドキュメントがあるので、ここに詳細を再投稿することはありません。 :-)

10
Peque

注目に値するハードウェアソリューションがいくつかあります。

まず、一部のLenovoビジネスラップトップなどの一部のラップトップには、ケースが開かれたことを検出する改ざん検出スイッチが付いています。 Lenovoでは、この機能をBIOSで有効にし、管理者パスワードを設定する必要があります。改ざんが検出された場合、ラップトップはすぐにシャットダウンし、(起動すると)警告を表示し、管理パスワードと適切なACアダプターが必要です。一部の改ざん検出器も可聴アラームを作動させ、電子メールを送信するように構成できます。

改ざん検出は改ざんを実際に防止しません(ただし、RAMからデータを盗むことを難しくする可能性があります。また、改ざん検出は、CMOSバッテリー)。主な利点は、知らないうちに誰かがハードウェアをひそかに改ざんできないことです。フルディスク暗号化などの強力なソフトウェアセキュリティを設定している場合、ハードウェアのひそかな改ざんは間違いなく残りの攻撃ベクトルの1つです。

もう1つの物理的なセキュリティは、一部のラップトップをドックにロックできることです。ドックが(ラップトップの下にあるネジで)テーブルにしっかりと取り付けられており、ラップトップが使用されていないときにドックにロックされたままになっている場合、追加の物理的保護が提供されます。もちろん、これは決意した泥棒を止めることはありませんが、あなたの家やビジネスからラップトップを盗むことは間違いなく難しくなりますが、ロックされている間はまだ完全に使用可能です(そして周辺機器、イーサネットなどをドックに差し込むことができます)。

もちろん、これらの物理的な機能は、それらを持たないラップトップを保護するのに役立ちません。ただし、セキュリティを意識している場合は、ラップトップを購入する際に検討する価値があります。

5
Blake Walsh

ディスクの暗号化に加えて(それを回避することはできません):-SELinuxおよびTRESOR。どちらもLinuxカーネルを強化し、攻撃者がメモリから情報を読み取ることを困難にします。

あなたがそれにいる間:私たちは今、あなたのデビットカード情報を欲しがる邪悪なランダムな人たちの恐怖(彼らはそうしません)だけでなく、しばしば十分なintelligence報機関の領土に入ります。その場合、あなたはもっとしたい

  • PCからすべてのクローズドソース(ファームウェアも)をパージしてみてください。これにはUEFI/BIOSが含まれます!
  • 新しいUEFI/BIOSとしてtianocore/corebootを使用します
  • 独自のキーでSecureBootを使用します。

他にもできるplentyがありますが、それらはくすぐるのに必要なものを適度に与える必要があります。

そして、忘れないでください: xkcd ;-)

2
larkey

質問を少し変更したため、変更された部分に対する私の答えは次のとおりです。

物理的なアクセスによるハッキングが不可能になるようにマシンを保護するにはどうすればよいですか?

回答:できません

改ざん検出、暗号化など、多くの高度なハードウェアおよびソフトウェアシステムがありますが、それはすべて次のようになります。

データを保護することはできますが、誰かがアクセスしたハードウェアを保護することはできません。 そして、他の誰かがアクセスした後にハードウェアを使い続けると、データを危険にさらしていることになります!

誰かが開こうとしたときにRAMをクリアする改ざん検出機能付きの安全なノートブックを使用し、フルディスク暗号化を使用し、暗号化されたデータのバックアップを別の場所に保存します。次に、ハードウェアへの物理的アクセスをできる限り難しくします。しかし、誰かがあなたのハードウェアにアクセスできたと思うなら、それを拭いて捨ててください。

次の質問 尋ねる必要があります :改ざんされていない新しいハードウェアを入手するにはどうすればよいですか?.

2
Josef

HDD/SSDにATAパスワードを使用します

これにより、passwordなしでディスクを使用できなくなります。これは、MBRまたはESPにアクセスできないため、パスワードなしでは起動できませんパスワード。また、ディスクが別のマシン内で使用されている場合、パスワードは必要です。

したがって、HDD/SSDにいわゆるユーザーATAパスワードを使用できます。これは通常、BIOS内で設定されます(ただし、これはBIOSパスワードではありません)。

セキュリティを強化するために、ディスクにもマスターATAパスワードを設定できます。製造者パスワードの使用を無効にします。

これは、CLIでhdparmを使用して行うこともできます。

特別な注意は、パスワードを失うとすべてのデータを失う可能性があるため、とるべきです。

http://www.admin-magazine.com/Archive/2014/19/Using-the-ATA-security-features-of-modern-hard-disks-and-SSDs

注:ATAパスワードの回復を要求するソフトウェア、または削除することを要求するソフトウェアもあるため、ここには弱点もあります。そのため、100%安全でもありません。

注:ATAパスワードには必ずしもFED(Full Disk Encryption)が付属しているわけではありません

1
solsTiCe