Párese junto a su computadora mientras sostiene un bate de tee. Golpea severamente a cualquiera que se acerque.

O encerrarlo.

Si su computadora es físicamente accesible, no es segura.

Una forma rápida y sencilla de hacerlo es desactivar el arranque desde CD y memorias USB en su BIOS y establecer una contraseña de BIOS.

De acuerdo a estopagina wiki:

Colocar contraseñas o bloquear elementos del menú (en los archivos de configuración de Grub) no impide que un usuario inicie manualmente usando comandos ingresados ​​en la línea de comandos de grub.

Sin embargo, no hay nada que impida que alguien simplemente robe su disco duro y lo monte en otra máquina, o restablezca su BIOS quitando la batería, o cualquiera de los otros métodos que un atacante puede usar cuando tiene acceso físico a su máquina.

Una mejor manera sería cifrar su unidad; puede hacerlo cifrando su directorio de inicio o cifrando todo el disco:

• ¿Cómo cifro la partición de mi hogar?
• https://help.ubuntu.com/community/FullDiskEncryptionHowto

Primero la advertencia...

El procedimiento de protección con contraseña de grub2 puede ser bastante complicado y, si lo hace mal, existe la posibilidad de quedarse con un sistema que no se puede iniciar. De este modosiemprePrimero haga una copia de seguridad de la imagen completa de su disco duro. Mi recomendación sería utilizarclonezilla- otra herramienta de respaldo comoImagenParteTambién podría usarse.

Si desea practicar esto, utilice una máquina virtual invitada en la que pueda revertir una instantánea.

vamos a empezar

El siguiente procedimiento protege la edición no autorizada de la configuración de Grub durante el inicio; es decir, presionar epara editar le permite cambiar las opciones de inicio. Por ejemplo, podría forzar el arranque en modo de usuario único y así tener acceso a su disco duro.

Este procedimiento debe usarse junto con el cifrado del disco duro y una opción de arranque seguro del BIOS para evitar el arranque desde el CD en vivo, como se describe en la respuesta asociada a esta pregunta.

casi todo lo que aparece a continuación se puede copiar y pegar línea a línea.

Primero hagamos una copia de seguridad de los archivos grub que editaremos; abra una sesión de terminal:

sudo mkdir /etc/grub.d_backup
sudo cp /etc/grub.d/* /etc/grub.d_backup

Creemos un nombre de usuario para grub:

gksudo gedit /etc/grub.d/00_header &

Desplácese hasta el final, agregue una nueva línea vacía y copie y pegue lo siguiente:

cat << EOF
set superusers="myusername"
password myusername xxxx
password recovery 1234
EOF

En este ejemplo se crearon dos nombres de usuario:mi nombre de usuarioyrecuperación

A continuación, regrese a la terminal (no la cierre gedit):

Solo usuarios de Natty y Oneiric

Genera una contraseña cifrada escribiendo

grub-mkpasswd-pbkdf2

Ingrese su contraseña que usará dos veces cuando se le solicite

Your PBKDF2 is grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

La parte que nos interesa comienza grub.pbkdf2...y termina.BBE2646

Resalte esta sección con el mouse, haga clic derecho y cópielo.

Vuelva a su geditaplicación: resalte el texto "xxxx" y reemplácelo con lo que copió (haga clic derecho y pegue)

es decir, la línea debería verse así

password myusername grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

todas las versiones de 'buntu (lúcidas y superiores)

Guarde y cierre el archivo.

Finalmente necesita proteger con contraseña cada entrada del menú de grub (todos los archivos que tienen una línea que comienzaentrada de menú):

cd /etc/grub.d
sudo sed -i -e '/^menuentry /s/ {/ --users myusername {/' *

Esto agregará una nueva entrada --users myusernamea cada línea.

Ejecute update-grub para regenerar su grub

sudo update-grub

Cuando intente editar una entrada de grub, le pedirá su nombre de usuario, es decirmi nombre de usuarioy la contraseña que utilizaste.

Reinicie y pruebe que el nombre de usuario y la contraseña se apliquen al editar todas las entradas de grub.

NB, recuerde presionar SHIFTdurante el arranque para mostrar su grub.

Modo de recuperación de protección con contraseña

Todo lo anterior se puede solucionar fácilmente utilizando el modo de recuperación.

Afortunadamente, también puedes forzar un nombre de usuario y una contraseña para usar la entrada del menú del modo de recuperación. En la primera parte de esta respuesta creamos un nombre de usuario adicional llamadorecuperacióncon una contraseña de1234. Para utilizar este nombre de usuario necesitamos editar el siguiente archivo:

gksudo gedit /etc/grub.d/10_linux

cambiar la línea de:

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

A:

if ${recovery} ; then
   printf "menuentry '${title}' --users recovery ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi 

Cuando use la recuperación use el nombre de usuariorecuperacióny la contraseña1234

Ejecute sudo update-grubpara regenerar su archivo grub

Reinicie y compruebe que se le solicita el nombre de usuario y la contraseña cuando intenta iniciar en modo de recuperación.

---

Más información -http://ubuntuforums.org/showthread.php?t=1369019

En resumen, necesitas:

• Lo más importante: cifrado completo del disco con luks. Esto protege la extracción de almacenamiento de hardware y el arranque en ataques de CD-ROM/USB externos. Cifrar el directorio de inicio no es suficiente.
• Establezca la contraseña del BIOS. Esto es importante porque /boot aún no está cifrado y es más importante cuando almacena contraseñas en TPM.
• Opcional: establezca la contraseña de GRUB.