Я хочу знать, как изменить имя пользователя моей учетной записи root с root на xyz .
Также я хочу знать, как убрать опцию загрузки в режим восстановления из опции grub во время загрузки.
Не думайте название root
может быть изменен.
В /etc/default/grub
, некомментарий (удаляют '#' символ), следующая строка:
#GRUB_DISABLE_LINUX_RECOVERY="true"
... затем выполненный sudo update-grub
.
НЕ РЕКОМЕНДУЕТСЯ Но если вы действительно хотите, используйте sudo vipw
и sudo vipw -s
для переименования «root» в /etc/passwd
и /etc/shadow
файлы соответственно. Это все, что нужно сделать; по сути, root
- это любой пользователь с UID 0 (по крайней мере, это мое понимание новичка). Обратите внимание, что если вы это сделаете, sudo -i
больше не работает, но sudo -u xyz -i
работает, и все равно переводит вас в приглашение root.
Физически заблокируйте корпус ПК, чтобы его нельзя было открыть.
Запретить компьютеру загружать другие устройства.
В BIOS отредактируйте последовательность загрузки так, чтобы она загружалась только с жесткого диска (а не с компакт-диска, USB-устройства и т. Д.). Затем установите пароль BIOS, чтобы никто не мог изменить последовательность загрузки.
Отключить опцию режима восстановления в Grub.
Редактировать файл /etc/default/grub
. Раскомментируйте строку:
#GRUB_DISABLE_LINUX_RECOVERY="true"
Добавьте суперпользователя Grub. Это имеет побочный эффект - не позволяет не прошедшим проверку подлинности пользователям Grub редактировать загрузочные строки (например, добавление параметра single
для загрузки в однопользовательском режиме и получения root).
Сначала хешируйте пароль, который вы хотите использовать для учетной записи суперпользователя Grub:
grub-mkpasswd-pbkdf2
Затем добавьте суперпользователя в конфигурацию Grub, добавив следующие строки в /etc/grub.d/00_header
(да, включите [ 1114] и EOF
строк):
cat << EOF
set superusers=[YOUR USERNAME]
password_pbkdf2 [YOUR USERNAME] [YOUR grub.pbkdf2.sha512.10000.... PASSWORD STRING]
EOF
(Пример взят из http://www.g0hl1n.net/node/16 .)
Наконец выполните следующие действия, чтобы изменения конфигурации Grub вступили в силу:
sudo update-grub2
Что это делает (при условии, что мы действительно обеспечили безопасность BIOS и Grub), уменьшает поверхность атаки до физического безопасность ПК (т.е. сломать блокировку корпуса) и безопасность Ubuntu, когда он онлайн. Цель состоит в том, чтобы сделать так, чтобы кто-то не мог подойти к ПК, перезагрузить его, перейти в однопользовательский режим, предоставить себе root-доступ, а затем уйти - и все это за минуту. Даже если вы используете полное шифрование диска (но при этом все еще загружаете ядро + initrd с жесткого диска ПК), все эти шаги могут быть хорошей идеей, поскольку выполнить ту же атаку для добавления кейлоггера тривиально к initrd, который будет прослушивать кодовую фразу шифрования.
Изменение имени пользователя root НЕ рекомендуется - вы, скорее всего, нарушите свою установку, возившись с правами root.
Определение корня и его привилегий см. В , в этой статье , а причины, по которым его не нужно менять, приведены в этой теме форума Ubuntu .
Для обеспечения машины от нежелательного корневого доступа, мы можем отключить корневой терминал исследования в Grub2 путем некомментария следующей строки в /etc/default/grub
:
GRUB_DISABLE_RECOVERY="true"
Примечание: Для предотвращения проблем безопасности путем редактирования записей GRUB2 при начальной загрузке, мы можем также хотеть ограничить доступ к меню начальной загрузки Grub путем установки GRUB_HIDDEN_TIMEOUT=0
и включение OS_PROBER
предотвратить сценарии выполнения вызова в /etc/grub.d
.
Для вступления в силу мы также хотим выполнить следующую команду:
sudo update-grub
Это не предотвратит начальную загрузку в корневую среду с живым CD.
Поэтому мы также должны отключить CD-ROM, Сеть или функции начальной загрузки USB в BIOS. Предотвратить BIOS изменяется, нам также нужны пароль для доступа BIOS и аппаратная блокировка, чтобы Ваш случай предотвратил сброс BIOS на Вашей материнской плате.
Кроме того, Ваш жесткий диск, вероятно, придется зашифровать в случае, если Ваши аппаратные средства украдены.
Предупреждение: Путем обеспечения системы таким образом можно полностью заблокировать себя из своего компьютера. Будьте осторожны, что Вы делаете и продолжаете двигаться, только если Вы знаете точно, что Вы делаете. Сохраните свои пароли в безопасном месте.