Я узнал, что могу загрузиться в однопользовательский режим (или что бы то ни было его вызвано), нажав Ctrl + e в меню Grub2 и добавив single
в правильную строку в сценарии загрузки. Это все хорошо - это спасло меня кучу раз, когда я что-то напортачил: P
Однако я заметил, что когда я это делаю, я получаю доступ к корню в принципе бесплатно - я никогда не должен введите пароль или иным образом подтвердите мою личность. Это кажется небезопасным - команда клавиатуры для редактирования сценария загрузки является общеизвестной, поэтому любой, у кого есть доступ к моему компьютеру, может просто отключить его (принудительно, если необходимо, с помощью кнопки питания) и снова, отредактировать сценарий загрузки и получить root доступ к моему компьютеру.
Я не хочу этого.
Что мне нужно настроить, чтобы принудительно ввести пароль для сеансов с одним пользователем?
(Вероятно, это не актуально, но я установил параметры запуска, чтобы я загрузился прямо на рабочий стол, пропустив экран входа в систему. Это нормально, так как мне еще нужно ввести пароль для sudo
, но мне не нравится идея получить доступ к любому корневому доступу легко ...)
Если вы установите пароль для пользователя root, этот пароль потребуется также для входа в однопользовательский режим.
Существует довольно подробное руководство по добавлению пароля для grub на UbuntuForums.
Возможно, есть другие варианты, ориентированные на однопользовательское приглашение, но, тем не менее, вы обрабатываете вещи там, это не настоящая безопасность. Кто-то может просто вставить Live Stick или CD, и у них вдруг есть доступ к корню и все ваши данные. Или можно вытащить диск (займет несколько секунд) и подключить его к другому компьютеру.
Давайте будем параноиком в течение минуты. Подумайте, сколько времени потребуется:
Возьмите бок с вашего компьютера, извлеките кабели из дисковода, подключите адаптер SATA-> USB, чтобы перевести накопитель на ноутбук, установите накопитель. вы хотите отключить и заменить оригинальные кабели и корпус ПК.С физическим доступом, я считаю, что могу получить доступ к вашим данным и исчезнуть в течение двух минут. Возможно, немного дольше, если это ноутбук с 200 винтами между мной и диском. Если вы несете важные ценные данные (или оставив их на рабочем столе без присмотра), это должно быть страшной мыслью.
Лучшим средством сдерживания является полное шифрование диска с помощью чего-то вроде LUKS:
Возьмите сторону со своего компьютера,Даже если кто-то что-то пытается что-то сделать, это кошмар для декодирования (помните, что если вы не делаете резервных копий - стандартное восстановление данных методы не будут работать). У них не будет времени на что-либо на месте, клон для диска занимает несколько часов для большинства дисков, и даже если они просто поднимают диск, это дает вам возможность запускать изменения паролей, учетных записей и т. Д., Которые могут быть данные на этом диске.
Полное шифрование диска с ключевым файлом на thumbdrive будет делать это до тех пор, пока вы не оставите его включенным.
Здесь закрывается блокировка grub. Я не верю в блокировку grub, поскольку все, что требуется, - это живой DVD / CD / Thumbdrive.