Защитите мой корневой аккаунт

Question 1

Я хочу знать, как изменить имя пользователя моей учетной записи root с root на xyz .

Также я хочу знать, как убрать опцию загрузки в режим восстановления из опции grub во время загрузки.

Question 2

Не думайте название root может быть изменен.
В /etc/default/grub, некомментарий (удаляют '#' символ), следующая строка:
```
#GRUB_DISABLE_LINUX_RECOVERY="true"
```

... затем выполненный sudo update-grub.

Question 3

Question 4

Переименование корневой учетной записи

НЕ РЕКОМЕНДУЕТСЯ Но если вы действительно хотите, используйте sudo vipw и sudo vipw -s для переименования «root» в /etc/passwd и /etc/shadow файлы соответственно. Это все, что нужно сделать; по сути, root - это любой пользователь с UID 0 (по крайней мере, это мое понимание новичка). Обратите внимание, что если вы это сделаете, sudo -i больше не работает, но sudo -u xyz -i работает, и все равно переводит вас в приглашение root.

Защита доступа к консоли

Физически заблокируйте корпус ПК, чтобы его нельзя было открыть.
Запретить компьютеру загружать другие устройства.

В BIOS отредактируйте последовательность загрузки так, чтобы она загружалась только с жесткого диска (а не с компакт-диска, USB-устройства и т. Д.). Затем установите пароль BIOS, чтобы никто не мог изменить последовательность загрузки.
Отключить опцию режима восстановления в Grub.

Редактировать файл /etc/default/grub. Раскомментируйте строку:
```
#GRUB_DISABLE_LINUX_RECOVERY="true"
```
Добавьте суперпользователя Grub. Это имеет побочный эффект - не позволяет не прошедшим проверку подлинности пользователям Grub редактировать загрузочные строки (например, добавление параметра single для загрузки в однопользовательском режиме и получения root).

Сначала хешируйте пароль, который вы хотите использовать для учетной записи суперпользователя Grub:
```
grub-mkpasswd-pbkdf2
```
Затем добавьте суперпользователя в конфигурацию Grub, добавив следующие строки в /etc/grub.d/00_header (да, включите [ 1114] и EOF строк):
```
cat << EOF
set superusers=[YOUR USERNAME]
password_pbkdf2 [YOUR USERNAME] [YOUR grub.pbkdf2.sha512.10000.... PASSWORD STRING]
EOF
```
(Пример взят из http://www.g0hl1n.net/node/16 .)

Наконец выполните следующие действия, чтобы изменения конфигурации Grub вступили в силу:
```
sudo update-grub2
```

Что это делает (при условии, что мы действительно обеспечили безопасность BIOS и Grub), уменьшает поверхность атаки до физического безопасность ПК (т.е. сломать блокировку корпуса) и безопасность Ubuntu, когда он онлайн. Цель состоит в том, чтобы сделать так, чтобы кто-то не мог подойти к ПК, перезагрузить его, перейти в однопользовательский режим, предоставить себе root-доступ, а затем уйти - и все это за минуту. Даже если вы используете полное шифрование диска (но при этом все еще загружаете ядро + initrd с жесткого диска ПК), все эти шаги могут быть хорошей идеей, поскольку выполнить ту же атаку для добавления кейлоггера тривиально к initrd, который будет прослушивать кодовую фразу шифрования.

Question 5

Изменение имени пользователя root НЕ рекомендуется - вы, скорее всего, нарушите свою установку, возившись с правами root.

Определение корня и его привилегий см. В , в этой статье , а причины, по которым его не нужно менять, приведены в этой теме форума Ubuntu .

Question 6

Для обеспечения машины от нежелательного корневого доступа, мы можем отключить корневой терминал исследования в Grub2 путем некомментария следующей строки в /etc/default/grub:

GRUB_DISABLE_RECOVERY="true"

^{Примечание: Для предотвращения проблем безопасности путем редактирования записей GRUB2 при начальной загрузке, мы можем также хотеть ограничить доступ к меню начальной загрузки Grub путем установки GRUB_HIDDEN_TIMEOUT=0 и включение OS_PROBER предотвратить сценарии выполнения вызова в /etc/grub.d}.

Для вступления в силу мы также хотим выполнить следующую команду:

sudo update-grub

Это не предотвратит начальную загрузку в корневую среду с живым CD.

Поэтому мы также должны отключить CD-ROM, Сеть или функции начальной загрузки USB в BIOS. Предотвратить BIOS изменяется, нам также нужны пароль для доступа BIOS и аппаратная блокировка, чтобы Ваш случай предотвратил сброс BIOS на Вашей материнской плате.

Кроме того, Ваш жесткий диск, вероятно, придется зашифровать в случае, если Ваши аппаратные средства украдены.

Предупреждение: Путем обеспечения системы таким образом можно полностью заблокировать себя из своего компьютера. Будьте осторожны, что Вы делаете и продолжаете двигаться, только если Вы знаете точно, что Вы делаете. Сохраните свои пароли в безопасном месте.

enzotib · Answer 1 · 13 November 2011 в 11:26

Не думайте название root может быть изменен.
В /etc/default/grub, некомментарий (удаляют '#' символ), следующая строка:
```
#GRUB_DISABLE_LINUX_RECOVERY="true"
```

... затем выполненный sudo update-grub.

Michael Kropat · Answer 2 · 13 November 2011 в 11:26

Переименование корневой учетной записи

НЕ РЕКОМЕНДУЕТСЯ Но если вы действительно хотите, используйте sudo vipw и sudo vipw -s для переименования «root» в /etc/passwd и /etc/shadow файлы соответственно. Это все, что нужно сделать; по сути, root - это любой пользователь с UID 0 (по крайней мере, это мое понимание новичка). Обратите внимание, что если вы это сделаете, sudo -i больше не работает, но sudo -u xyz -i работает, и все равно переводит вас в приглашение root.

Защита доступа к консоли

Физически заблокируйте корпус ПК, чтобы его нельзя было открыть.
Запретить компьютеру загружать другие устройства.

В BIOS отредактируйте последовательность загрузки так, чтобы она загружалась только с жесткого диска (а не с компакт-диска, USB-устройства и т. Д.). Затем установите пароль BIOS, чтобы никто не мог изменить последовательность загрузки.
Отключить опцию режима восстановления в Grub.

Редактировать файл /etc/default/grub. Раскомментируйте строку:
```
#GRUB_DISABLE_LINUX_RECOVERY="true"
```
Добавьте суперпользователя Grub. Это имеет побочный эффект - не позволяет не прошедшим проверку подлинности пользователям Grub редактировать загрузочные строки (например, добавление параметра single для загрузки в однопользовательском режиме и получения root).

Сначала хешируйте пароль, который вы хотите использовать для учетной записи суперпользователя Grub:
```
grub-mkpasswd-pbkdf2
```
Затем добавьте суперпользователя в конфигурацию Grub, добавив следующие строки в /etc/grub.d/00_header (да, включите [ 1114] и EOF строк):
```
cat << EOF
set superusers=[YOUR USERNAME]
password_pbkdf2 [YOUR USERNAME] [YOUR grub.pbkdf2.sha512.10000.... PASSWORD STRING]
EOF
```
(Пример взят из http://www.g0hl1n.net/node/16 .)

Наконец выполните следующие действия, чтобы изменения конфигурации Grub вступили в силу:
```
sudo update-grub2
```

Что это делает (при условии, что мы действительно обеспечили безопасность BIOS и Grub), уменьшает поверхность атаки до физического безопасность ПК (т.е. сломать блокировку корпуса) и безопасность Ubuntu, когда он онлайн. Цель состоит в том, чтобы сделать так, чтобы кто-то не мог подойти к ПК, перезагрузить его, перейти в однопользовательский режим, предоставить себе root-доступ, а затем уйти - и все это за минуту. Даже если вы используете полное шифрование диска (но при этом все еще загружаете ядро + initrd с жесткого диска ПК), все эти шаги могут быть хорошей идеей, поскольку выполнить ту же атаку для добавления кейлоггера тривиально к initrd, который будет прослушивать кодовую фразу шифрования.

Mark Rooney · Answer 3 · 13 November 2011 в 11:26

Изменение имени пользователя root НЕ рекомендуется - вы, скорее всего, нарушите свою установку, возившись с правами root.

Определение корня и его привилегий см. В , в этой статье , а причины, по которым его не нужно менять, приведены в этой теме форума Ubuntu .

Takkat · Answer 4 · 13 November 2011 в 11:26

Для обеспечения машины от нежелательного корневого доступа, мы можем отключить корневой терминал исследования в Grub2 путем некомментария следующей строки в /etc/default/grub:

GRUB_DISABLE_RECOVERY="true"

^{Примечание: Для предотвращения проблем безопасности путем редактирования записей GRUB2 при начальной загрузке, мы можем также хотеть ограничить доступ к меню начальной загрузки Grub путем установки GRUB_HIDDEN_TIMEOUT=0 и включение OS_PROBER предотвратить сценарии выполнения вызова в /etc/grub.d}.

Для вступления в силу мы также хотим выполнить следующую команду:

sudo update-grub

Это не предотвратит начальную загрузку в корневую среду с живым CD.

Поэтому мы также должны отключить CD-ROM, Сеть или функции начальной загрузки USB в BIOS. Предотвратить BIOS изменяется, нам также нужны пароль для доступа BIOS и аппаратная блокировка, чтобы Ваш случай предотвратил сброс BIOS на Вашей материнской плате.

Кроме того, Ваш жесткий диск, вероятно, придется зашифровать в случае, если Ваши аппаратные средства украдены.

Предупреждение: Путем обеспечения системы таким образом можно полностью заблокировать себя из своего компьютера. Будьте осторожны, что Вы делаете и продолжаете двигаться, только если Вы знаете точно, что Вы делаете. Сохраните свои пароли в безопасном месте.

Защитите мой корневой аккаунт

4 ответа

Переименование корневой учетной записи

Защита доступа к консоли

Другие вопросы по тегам:

Похожие вопросы: