Live Linux isoで「ライブ構造」を使用してgrub.conf攻撃を防止する

Live Linux isoで「ライブ構造」を使用してgrub.conf攻撃を防止する

grub.confでgrubパスワードを設定しました。しかし、ライブLinux isoを使ってgrub.confからパスワードを削除することができました。このリンクに記載されているのと同じ手順をお読みください。http://gofedora.com/how-to-recover-crack-root-password-grub-locked/

menu.lstを編集する代わりにgrub.confを編集しました。すべてのステップは同じです。

私の質問は:このハッキングを防ぐ方法はありますか?回復しようとしたときに回復が不可能な場合(たとえば、/mnt/sysimageディレクトリにハードドライブをマウントできない場合)、続行/スキップ/中断するかどうかを尋ねるメッセージがシステムに表示されます。

そのため、/mnt/sysimageにマウントするのを防ぐマウント/ブートなどを操作して、このようなハッキングを防ぐための具体的な方法があるべきだと思います。

どんな助けでも価値があります

編集する:

PS:仮想化環境では、VSphereの実際のVMはLinux VMであり、BIOSでCD / DVD-Romとネットワークブートを無効にする必要があるため、この環境を再検討してください。これがすべて完了したら、VMを.ovfに再パッケージし、新しいovfにBIOSの制限があることを確認したいと思います。

答え1

grubパスワードに加えて、基本オペレーティングシステムを含むデバイス以外のメディアからの起動を許可しないようにBIOSを設定する必要があります。この設定を変更できないようにBIOSパスワードを設定する必要があります。

ドライブが暗号化されていない場合、コンピュータへの物理的なアクセスはデータへのアクセスと同じです。 BIOSパスワードがあってもケースを開いてバッテリーを取り外すと、CMOSをリセットできます。

答え2

ディスク上のブートローダに必要なすべての制限を適用できます。誰かがそのブートローダを使用せずに起動すると役に立ちません。

他のメディアからのブート、特にリムーバブルディスクまたはネットワーク経由のブートを拒否するようにBIOSを設定すると、より多くの制御を得ることができます。攻撃者が設定を変更できないようにBIOSパスワードを入力する必要があります。

攻撃者がディスクにアクセスして別のコンピュータに接続できる場合、ブートローダまたはBIOSで実行できるアクションは、攻撃者がディスクの内容を読み取ることを防ぐことはできません(ディスク上のオペレーティングシステムの実行を含む)。この場合の唯一の方法は、攻撃者が使用できないようにディスクを読み取ることです。次のコマンドを使用してディスクを暗号化します。DMパスワードそして、攻撃者にパスワードを知らせないでください(コンピュータがあなたであることを知るために、起動時にパスワードを入力する必要があります)。

関連情報