パスワードが簡単にリセットできることに驚きましたコマンドライン経由つまり、私のマシンに物理的にアクセスできる人なら誰でもパスワードをリセットし、ホーム フォルダーの暗号化された内容を読み取ることができるということですか? もしそうなら、どうすればそれを防ぐことができますか?
答え1
つまり、私のマシンに物理的にアクセスできる人なら誰でもパスワードをリセットして、暗号化されたコンテンツ私のホームフォルダの?
いいえ、ホーム暗号化はそれパスワードなので、もし私があなたのコンピュータを盗んでユーザーパスワードを変更したとしても、簡単に(詳細は後述) データを復号化します。
とはいえ、リカバリ モードにアクセスするには、ディスクのルート権限を取得する必要があり、ルート権限があれば、バックグラウンドで実行するスクリプトを何でも作成できます... キー ロガーやその他の厄介な機能を実装して、入力したパスワードを盗み取ったり、知らないうちに復号化されたデータにアクセスしたりすることもできます。
あなたはできるリカバリモードを無効にするまたはgrubにパスワードを設定する標準オプション以外のオプションを希望する場合は、ユーザーに確認を求めます。もちろん、誰かが起動可能な USB スティックまたは DVD を挿入して、ディスクを外部にマウントする可能性もありますので、起動順序を変更し (BIOS をパスワードで保護し)、最初のハードディスクからのみ起動するようにする必要があります。
これで、最も怠惰なハッカーも阻止できます。ドライバーとラップトップ、SATA→USB バスを持っているハッカーは、ドライブを取り出してラップトップにマウントし、パスワードを変更してすべてを元に戻すことができます。この作業は 5 分以内に完了すると思います。ラップトップの場合は、ドライブへのアクセスが容易なことが多いため、さらに短時間で完了します。
私を倒したいなら、インストール時に全体を暗号化するつまり、再インストールが必要になり、そのたびにパスワードを入力する必要があります。
しかし、それでも、ドビーが言うように、もし私が本当にデータが必要な場合は、ディスクを生のイメージ ファイルとしてクローンし (約 20 分)、EC2 クラスターを使用してそれをクラックします (数時間、数日、数週間)... または 5 ドルのレンチと指 (数秒)...
答え2
代わりにフルディスク暗号化を使用してください。また、マシンへの物理的なアクセスを制限してください。
誰かがあなたのマシンに物理的にアクセスできる場合、その人はあなたのディスクを盗んで別の場所に持ち出し、最終的に暗号化を解読することもできます。