複数のユーザーにLinuxデバイスを提供する予定です。これらのユーザーは技術に精通しており、標準のLinuxシステムでルートパスワードを簡単にリセットできます。
保護されたら、rootユーザーがファイルシステムに入らないようにする実行中のLinuxシステムを作成する方法は? (LUKSなどのディスク暗号化を調査しましたが、すべての場合、ルートは自動マウントされたパーティションにアクセスできました。)
この問題をどのように解決できますか?次のスタック交換の質問これ攻撃者がrootアクセス権を持っていないと仮定すると、シングルユーザー/回復モードで起動してrootパスワードをリセットするのが簡単に見えます。
LUKSについて読みましたが、FDEではキーファイルをinitramfsにロールバックする必要があります(図を参照)。ここ)しかし、initramfsを簡単に拡張してキーを抽出できると思います。だから私はこれが問題を解決するとは思わない
答え1
いいえいいえルートパスワードは、フルディスク暗号化(FDE)を使用するPCでリセットできます。
追加した回答にリンクされているチュートリアルでは、一部の非システムドライブを自動的にマウントする方法について説明します。 FDEを使用する/
と/root/keyfile
。
便宜上、暗号化されていないパーティション(たとえば)のシステムパーティションにキーファイルを置くと、/boot
友達がファイルを読み取ることができるため、そうしないでください。
読む:
あなたのコメントに追加された事項に関して:
「ユーザーの介入なしにデバイスが起動して実行されます。」:
信頼できないユーザーがコンピュータを起動することを許可しないでください。ユーザーが暗号化されたハードドライブから起動できる場合は、パスワードを知っているか、暗号化に使用される暗号化されていないキーファイルを持っている場合は、コンピュータに必要なすべての操作を実行できます。
コンピュータの電源を入れるか、信頼できるユーザーに起動を許可します。
答え2
答えを見つけました。 LUKSを使用してディスク全体を暗号化し、システムTPMにキーを保存します。これにより、ディスク全体が暗号化され、エンドユーザーはTPMからキーを抽出できなくなります。非常に安全です。