Я хочу отключить атаку в режиме sing user, выполняемую на уровне grub, передавая параметры ядра.
Я знаю решение, которое ставит пароль grub & amp; bios password.but я хочу знать, не вводя пароль, мы не можем отключить однопользовательский режим атаки.
Если у взломщика есть физический доступ к системе, которая они должны изменить параметры ядра, это - проигранное дело без шифрования.
Однако я предположение можно ограничить тот конкретный метод (init=/arbitrary/command
) путем комментирования этих строк в источник ядра и компиляции собственного ядра:
if (execute_command) {
ret = run_init_process(execute_command);
if (!ret)
return 0;
panic("Requested init %s failed (error %d).",
execute_command, ret);
}
я не протестировал его, таким образом, никакие гарантии.
Связанный:
За исключением цельного шифрования Вашего корневого раздела (с отдельным разделом начальной загрузки, очевидно) существует очень мало, Вы могли сделать для предотвращения нападения кого-то, у кого есть физический доступ к системе.
Физический доступ == корневой доступ.