どのような方法でもキャンセルできないように2FAを設定できますか? /etc/pam.d/common-authのパスワードまたは回復モードを完全に無効にできますか?

どのような方法でもキャンセルできないように2FAを設定できますか? /etc/pam.d/common-authのパスワードまたは回復モードを完全に無効にできますか?

パスワードがわからないと誰もが2FA資格証明などを削除/編集できないようにしたいと思います。

安全にパスワードで保護できますか?それとも、そのような結果を得る他の方法はありますか?

私が思ったことを正確に説明しました。 /etc/pam.d/common-auth ファイルを含むフォルダ - Linux に 2FA コードが必要であるという情報を提供します。システムですべての操作を実行するには、rootログインやsudoコマンドなどのコードを書く必要があります。

問題は、回復モードで問題にならないこのエントリを削除して2FAを無効にできることです。つまり、2FAコードなしで無効にできる場合、原則として2FAは意味がありません。

私に似たトピックがあります(しかしU2Fに関連しています)。しかし、著者はU2Fの衝突に失敗するとシステムへのアクセス権を失うことになるかと心配する。なぜ構造モードのような簡単な解決策で書かれた答えがないのですか?少し変ですhttps://askubuntu.com/questions/1167691/passwordless-login-with-yubikey-5-nfc/But

実際には多くの答えがあり、誰もがシステムへのアクセスを失う可能性があると警告しました。それでは、もう一度尋ねます。 2FAをどのようにキャンセルできないように設定することは可能ですか(例:回復モードでユニバーサル認証ファイルを編集しますか?)

答え1

Linux上のすべてのファイルまたはディレクトリはパスワードで保護できます*。ただし、プロセスはファイルにアクセスする必要があり、認証サービスで使用される基本プロセスはパスワードを提供できません。

すべての最新システムでは、パスワードが暗号化されています。すべての暗号化は壊れる可能性がありますが、これは非常に長いプロセスであり、成功するかどうかは主にパスワード自体の複雑さによって異なります。たとえば、Linuxのルートパスワードをクラッキングする場合は、通常、少なくともsudoerパスワードを必要とするファイルとディレクトリへのアクセス権を最初に取得する必要があります。

Linuxにはルートキットはほとんどありません。すべてのセキュリティチェーンで最も弱いリンクは常に人的要因であるため、ルートパスワードは複雑で保護されている必要があります。回復モードで起動してセキュリティ対策がバイパスされるのを防ぐために、システムへの物理アクセスを制限する必要があります。

セキュリティは常に猫とマウスのゲームであり、セキュリティは常に一歩遅れています。システムを強化するには、まず新しい脅威が登場する必要があります。最終的に、完全に壊れないセキュリティとは無く、セキュリティを破ることによって得られる利点が努力する価値のあるレベルだけです。これは通常、政府、軍隊、または主要なグローバル企業または機関を意味します。

*源泉:

関連情報