Fique próximo ao computador enquanto segura um taco de tee-ball. Bata severamente em qualquer um que se aproxime.

Ou tranque-o.

Se o seu computador estiver fisicamente acessível, não é seguro.

Uma maneira rápida e fácil de fazer isso é desabilitar a inicialização de CDs e pen drives em seu BIOS e definir uma senha de BIOS.

De acordo com issopágina wiki:

Colocar senhas ou bloquear itens de menu (nos arquivos de configuração do Grub) não impede que um usuário inicialize manualmente usando comandos inseridos na linha de comando do grub.

No entanto, não há nada que impeça alguém de simplesmente roubar seu disco rígido e montá-lo em outra máquina, ou redefinir seu BIOS removendo a bateria, ou um dos outros métodos que um invasor pode usar quando tiver acesso físico à sua máquina.

A melhor maneira seria criptografar sua unidade. Você pode fazer isso criptografando seu diretório inicial ou criptografando todo o disco:

• Como criptografo minha partição inicial?
• https://help.ubuntu.com/community/FullDiskEncryptionHowto

Primeiro o aviso...

O procedimento de proteção por senha do grub2 pode ser bastante complicado e se você errar, existe a possibilidade de ficar com um sistema não inicializável. Por issosemprefaça primeiro um backup completo da imagem do seu disco rígido. Minha recomendação seria usarClonezilla- outra ferramenta de backup, comoParteImagemtambém poderia ser usado.

Se você quiser praticar isso - use uma máquina virtual convidada na qual você pode reverter um instantâneo.

vamos começar

O procedimento abaixo protege a edição não autorizada das configurações do Grub durante a inicialização - ou seja, pressionar epara editar permite alterar as opções de inicialização. Você poderia, por exemplo, forçar a inicialização no modo de usuário único e, assim, ter acesso ao seu disco rígido.

Este procedimento deve ser usado em conjunto com a criptografia do disco rígido e uma opção de inicialização segura do BIOS para evitar a inicialização a partir do live cd, conforme descrito na resposta associada a esta pergunta.

quase tudo abaixo pode ser copiado e colado uma linha por vez.

Primeiro vamos fazer backup dos arquivos grub que iremos editar - abra uma sessão de terminal:

sudo mkdir /etc/grub.d_backup
sudo cp /etc/grub.d/* /etc/grub.d_backup

Vamos criar um nome de usuário para o grub:

gksudo gedit /etc/grub.d/00_header &

Role até o final, adicione uma nova linha vazia e copie e cole o seguinte:

cat << EOF
set superusers="myusername"
password myusername xxxx
password recovery 1234
EOF

Neste exemplo, dois nomes de usuário foram criados:meu nome de usuárioerecuperação

Próximo - navegue de volta ao terminal (não feche gedit):

Somente usuários Natty e Oneiric

Gere uma senha criptografada digitando

grub-mkpasswd-pbkdf2

Digite sua senha que você usará duas vezes quando solicitado

Your PBKDF2 is grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

A parte que nos interessa começa grub.pbkdf2...e terminaBBE2646

Destaque esta seção usando o mouse, clique com o botão direito e copie.

Volte para o seu geditaplicativo - destaque o texto "xxxx" e substitua-o pelo que você copiou (clique com o botão direito e cole)

ou seja, a linha deve parecer

password myusername grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

todas as versões do buntu (lúcidas e superiores)

Salve e feche o arquivo.

Finalmente você precisa proteger com senha cada entrada do menu grub (todos os arquivos que possuem uma linha que começaentrada do menu):

cd /etc/grub.d
sudo sed -i -e '/^menuentry /s/ {/ --users myusername {/' *

Isso adicionará uma nova entrada --users myusernamea cada linha.

Execute update-grub para regenerar seu grub

sudo update-grub

Quando você tenta editar uma entrada do grub, ele pedirá seu nome de usuário, ou sejameu nome de usuárioe a senha que você usou.

Reinicie e teste se o nome de usuário e a senha estão sendo aplicados ao editar todas as entradas do grub.

NB lembre-se de pressionar SHIFTdurante a inicialização para exibir seu grub.

Modo de recuperação protegido por senha

Todos os itens acima podem ser facilmente solucionados usando o modo de recuperação.

Felizmente, você também pode forçar um nome de usuário e uma senha para usar a entrada do menu do modo de recuperação. Na primeira parte desta resposta, criamos um nome de usuário adicional chamadorecuperaçãocom uma senha de1234. Para usar este nome de usuário, precisamos editar o seguinte arquivo:

gksudo gedit /etc/grub.d/10_linux

mude a linha de:

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

Para:

if ${recovery} ; then
   printf "menuentry '${title}' --users recovery ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi 

Ao usar a recuperação, use o nome de usuáriorecuperaçãoe a senha1234

Execute sudo update-grubpara regenerar seu arquivo grub

Reinicie e teste o nome de usuário e a senha solicitados ao tentar inicializar no modo de recuperação.

---

Mais Informações -http://ubuntuforums.org/showthread.php?t=1369019

Resumindo, você precisa de:

• O mais importante: Criptografia completa do disco com luks. Isso protege a extração de armazenamento de hardware e a inicialização contra ataques externos de CD-ROM/USB. Criptografar o diretório inicial não é suficiente.
• Defina a senha do BIOS. Isso é importante porque /boot ainda não está criptografado e é mais importante quando você armazena senhas no TPM.
• Opcional: defina a senha do GRUB.