信頼できない人がコンピュータに物理的にアクセスすることを許可しないでください。

Question 1

物理的な操作だから極度に防御するのが難しい。

セキュリティと利便性の間には常にバランスがあります。

物理的なアクセスによりソフトウェアレベルの保護ができません。

それでは、なぜユーザーに不快感を与えるのでしょうか？何があってもハッカーを防ぐためにできることはありません。

物理的にアクセスできるハッカーなら「申し訳ありません。パスワードがありません。」と言えばロックせず、
コンピュータの正当なユーザーである場合、パスワードのリセットを拒否すると、状況がはるかに困難になります。

これを防ぐには：

信頼できない人がコンピュータに物理的にアクセスすることを許可しないでください。

はい、ディスクを暗号化できます。ただし、信頼できない人に定期的に物理的なアクセスを許可すると、ゲームは終了します。それでも。

Answer

物理的な操作だから極度に防御するのが難しい。

セキュリティと利便性の間には常にバランスがあります。

物理的なアクセスによりソフトウェアレベルの保護ができません。

それでは、なぜユーザーに不快感を与えるのでしょうか？何があってもハッカーを防ぐためにできることはありません。

物理的にアクセスできるハッカーなら「申し訳ありません。パスワードがありません。」と言えばロックせず、
コンピュータの正当なユーザーである場合、パスワードのリセットを拒否すると、状況がはるかに困難になります。

これを防ぐには：

信頼できない人がコンピュータに物理的にアクセスすることを許可しないでください。

はい、ディスクを暗号化できます。ただし、信頼できない人に定期的に物理的なアクセスを許可すると、ゲームは終了します。それでも。

Question 2

Linuxでは、rootアクセス権がある場合はこれを防ぐ方法がなく、防止する理由がないため、rootのリセットを許可します。ルートアクセスとは、すべての操作を実行する権限があることを意味します。すべてには、ルートパスワードの変更が含まれます。ルートパスワードを変更するためにルートパスワードは必要ありません。ルートアカウントへのアクセス権を取得するだけです。別の方法でルートアカウントにアクセスできる場合は、ルートが再びアクセスできるため、ルートパスワードを変更できます。何もない。

これは論理的に不可能であるため、これを防ぐ方法はありません。すべての操作を実行できる場合は、ルートパスワードを変更できます。誰かに制限されたアクセス権を付与し、rootパスワードの変更を許可しないことは可能ですが、rootアクセス権がなく、権限のないアカウントのみを持つことがあります。

Linux自体は通常、物理アクセスがある場合はrootアクセスを許可しません。これがその特徴の一つです。ブートローダー：起動時にコンソールにアクセスできる人が特別な回復モードを要求する可能性があり、この回復モードがどのように機能するかに応じて、認証なしでルートアクセスが許可されることがあります。リカバリモードは、起動中に通常の起動とは異なるプログラムセットを起動するようにLinuxに指示することによって機能します（通常の起動にはログインプロンプトを含む多くのサービスが含まれます）。最も「極端な」回復モードはinit=/bin/shカーネルコマンドラインに追加され、Linuxに次のことを指示します。コンソールでルートシェルを実行すると、それはすべてです。

回復モードを無効にしたり、パスワードで保護したりできます。これにより、コンソールアクセス権を持つ人が認証できない場合は、rootアクセス権を取得できなくなります。これはBIOS設定を変更してバイパスする可能性があるため、効果的な保護のためにBIOS設定もロックする必要があります（パスワードを入力せずにブートデバイスを変更したり、BIOS設定を変更したりしないでください）。

これは、誰かがキーボードにアクセスするのを防ぐのに十分ですが、コンピュータ自体に物理的にアクセスする人を防ぐことはできません。ハードドライブを取り出して別のコンピュータにインストールし、必要に応じてファイルをスキャンして変更できます。これが発生しないようにするには、パスワードの確認は役に立ちません。つまり、ソフトウェアが実行されていません。ハードドライブを暗号化すると、これを防ぐことができます。その後、システムを再起動してアクセスするには、攻撃者が暗号化パスワードを知る必要があります（または暗号化キーを持つスマートカードを挿入する必要があります）。このタスクの実質的な欠点は誰暗号化パスワードを入力するか、カードを挿入する必要があります。便利な暗号化および無人起動は使用できません。

Answer

Linuxでは、rootアクセス権がある場合はこれを防ぐ方法がなく、防止する理由がないため、rootのリセットを許可します。ルートアクセスとは、すべての操作を実行する権限があることを意味します。すべてには、ルートパスワードの変更が含まれます。ルートパスワードを変更するためにルートパスワードは必要ありません。ルートアカウントへのアクセス権を取得するだけです。別の方法でルートアカウントにアクセスできる場合は、ルートが再びアクセスできるため、ルートパスワードを変更できます。何もない。

これは論理的に不可能であるため、これを防ぐ方法はありません。すべての操作を実行できる場合は、ルートパスワードを変更できます。誰かに制限されたアクセス権を付与し、rootパスワードの変更を許可しないことは可能ですが、rootアクセス権がなく、権限のないアカウントのみを持つことがあります。

Linux自体は通常、物理アクセスがある場合はrootアクセスを許可しません。これがその特徴の一つです。ブートローダー：起動時にコンソールにアクセスできる人が特別な回復モードを要求する可能性があり、この回復モードがどのように機能するかに応じて、認証なしでルートアクセスが許可されることがあります。リカバリモードは、起動中に通常の起動とは異なるプログラムセットを起動するようにLinuxに指示することによって機能します（通常の起動にはログインプロンプトを含む多くのサービスが含まれます）。最も「極端な」回復モードはinit=/bin/shカーネルコマンドラインに追加され、Linuxに次のことを指示します。コンソールでルートシェルを実行すると、それはすべてです。

回復モードを無効にしたり、パスワードで保護したりできます。これにより、コンソールアクセス権を持つ人が認証できない場合は、rootアクセス権を取得できなくなります。これはBIOS設定を変更してバイパスする可能性があるため、効果的な保護のためにBIOS設定もロックする必要があります（パスワードを入力せずにブートデバイスを変更したり、BIOS設定を変更したりしないでください）。

これは、誰かがキーボードにアクセスするのを防ぐのに十分ですが、コンピュータ自体に物理的にアクセスする人を防ぐことはできません。ハードドライブを取り出して別のコンピュータにインストールし、必要に応じてファイルをスキャンして変更できます。これが発生しないようにするには、パスワードの確認は役に立ちません。つまり、ソフトウェアが実行されていません。ハードドライブを暗号化すると、これを防ぐことができます。その後、システムを再起動してアクセスするには、攻撃者が暗号化パスワードを知る必要があります（または暗号化キーを持つスマートカードを挿入する必要があります）。このタスクの実質的な欠点は誰暗号化パスワードを入力するか、カードを挿入する必要があります。便利な暗号化および無人起動は使用できません。

Question 3

Linuxにはrootパスワードをリセットする方法があります。これが許される理由は何ですか？

このステートメントは正確ではありません。設計の選択により、これは多くのGNU / Linuxディストリビューションには適用されますが、Linuxカーネルには適用されません。

物理的なアプローチにより、改ざん防止が可能なLinuxベースのデバイスを構築できます。これがAndroid携帯やタブレットの基本的なアイデアです。

インストール時に暗号化されたディスクボリュームを使用して、デスクトップまたはラップトップのLinuxシステムに改ざん防止レベルを提供できます。起動するたびにルートファイルシステムをマウントするには、正しいパスワードを入力する必要があります。（したがって、カスタムカーネルパラメータを使用するのと同じように、起動プロセスを制御できるからといってシステムにアクセスできるわけではありません。）

Answer

Linuxにはrootパスワードをリセットする方法があります。これが許される理由は何ですか？

このステートメントは正確ではありません。設計の選択により、これは多くのGNU / Linuxディストリビューションには適用されますが、Linuxカーネルには適用されません。

物理的なアプローチにより、改ざん防止が可能なLinuxベースのデバイスを構築できます。これがAndroid携帯やタブレットの基本的なアイデアです。

インストール時に暗号化されたディスクボリュームを使用して、デスクトップまたはラップトップのLinuxシステムに改ざん防止レベルを提供できます。起動するたびにルートファイルシステムをマウントするには、正しいパスワードを入力する必要があります。（したがって、カスタムカーネルパラメータを使用するのと同じように、起動プロセスを制御できるからといってシステムにアクセスできるわけではありません。）

Question 4

chrootのパスワードの改ざんと上書きを防ぐために、ディスクを暗号化してください。今日、多くの（またはほとんどの）展開インストーラは暗号化されたディスク機能を提供しています。

明らかに、ディスクのパスワードを忘れてしまうと、ディスクがレンガになり、これにできることはまったくありません。

Answer

chrootのパスワードの改ざんと上書きを防ぐために、ディスクを暗号化してください。今日、多くの（またはほとんどの）展開インストーラは暗号化されたディスク機能を提供しています。

明らかに、ディスクのパスワードを忘れてしまうと、ディスクがレンガになり、これにできることはまったくありません。

信頼できない人がコンピュータに物理的にアクセスすることを許可しないでください。

答え1

物理的な操作だから極度に防御するのが難しい。

信頼できない人がコンピュータに物理的にアクセスすることを許可しないでください。

答え2

答え3

答え4

関連情報