PAM confファイルは安全ではありません! [閉鎖]

PAM confファイルは安全ではありません! [閉鎖]

/etc/pam.d/にあるPAM設定ファイルは、物理攻撃に対して脆弱です。つまり、外部システム(起動可能なUSBまたはドライブを別のシステムに転送)で変更できます。

ドライブ全体を暗号化する以外に、これらのPAMプロファイルを保護する他の方法はありますか?

答え1

物理的アプローチはいルートアクセス。起動プロセスの一部を変更できると、システムが損傷する可能性があります。

それはいつもあなた次第です攻撃シナリオ。攻撃者がPAM構成を変更できると判断した場合は、FDE(フルディスク暗号化)を介して攻撃から保護できます。攻撃者がパスワードを盗むためにFDEパスワードプロンプトを別のツールに置き換えたと思った場合、ロックされた信頼できるブートチェーンは問題ありませんが(LinuxBoot、HEADSを参照)、おそらくその時点ではTPMを扱っているでしょう。 HEADSはこれを行います。本物安全ですが、私の知る限り、まだ生産の準備ができていません。

しかし、これはソフトウェア緩和です。 ㅏハードウェアキーロガーキーボードとマザーボードの間に置くと、入力内容を相手に送信できます。彼らが少なくとも知っていたなら一部システム(デプロイメントやWMなど)の場合、入力がしばらく停止した後にキーボードマクロを再生してデータを送信することもできます。または、事前にハードドライブ全体のコピーを作成し、記録された入力を使用してコピーを復号化します。 TPMや他のエンクレーブを使用しない限り、これらの攻撃を防ぐことはほとんど不可能です。

最初の文をもう一度繰り返してみましょう。物理アクセスはルートアクセスです。。潜在的な攻撃者の速度を遅くするには、少なくともGRUBと起動設定を保護し(UEFIや​​起動順序を変更するためのパスワードが必要です)、常に特定のハードドライブから起動してFDEを使用してください。ただし、強化されたドアと追加のセキュリティロックが鍵を紛失した場合は、ロックメーカーがより困難になるように、これらすべてがトラブルシューティングとサポートをより困難にすることに注意してください。

しかし、状況によって異なることを覚えておいてくださいあなたの攻撃シーン。ちょっとしたダメージを与えたかったら、ノートパソコンにバケツを落とします。


質問に戻る:設定ファイルを保護する方法は、どこかに戻って保存されます。誰かがファイルを変更すると、そのメタファイルも変更を続行できます。下部にファイルがあります。

関連情報