Встаньте рядом с компьютером, держа биту для тибола. Жестоко избейте любого, кто приблизится.

Или заприте его.

Если ваш компьютер физически доступен, он небезопасен.

Быстрый и простой способ сделать это — отключить загрузку с компакт-дисков и USB-накопителей в BIOS и установить пароль BIOS.

Согласно этомувики-страница:

Установка паролей или блокировка пунктов меню (в файлах конфигурации Grub) не мешает пользователю вручную загружать систему с помощью команд, введенных в командной строке grub.

Однако ничто не мешает кому-то просто украсть ваш жесткий диск и подключить его к другому компьютеру, или сбросить настройки BIOS, извлекая батарею, или воспользоваться одним из других методов, которые злоумышленник может использовать, получив физический доступ к вашему компьютеру.

Лучшим способом было бы зашифровать ваш диск. Вы можете сделать это, зашифровав либо свой домашний каталог, либо весь диск:

• Как зашифровать домашний раздел?
• https://help.ubuntu.com/community/FullDiskEncryptionHowto

Сначала предупреждение...

Процедура защиты паролем grub2 может быть довольно сложной, и если вы ошибетесь, есть вероятность остаться с незагружаемой системой. Таким образомвсегдаСначала сделайте полную резервную копию образа вашего жесткого диска. Я бы рекомендовал использоватьКлонезилла- другой инструмент резервного копирования, такой какЧастьИзображениетакже может быть использован.

Если вы хотите попрактиковаться - используйте гостевую виртуальную машину, на которой можно откатить снимок.

Давайте начнем

Процедура ниже защищает от несанкционированного редактирования настроек Grub во время загрузки - то есть, нажатие eна редактирование позволяет вам изменить параметры загрузки. Например, вы можете принудительно загрузиться в однопользовательском режиме и таким образом получить доступ к вашему жесткому диску.

Эту процедуру следует использовать совместно с шифрованием жесткого диска и опцией безопасной загрузки BIOS, чтобы предотвратить загрузку с Live CD, как описано в соответствующем ответе на этот вопрос.

почти все, что указано ниже, можно копировать и вставлять по одной строке за раз.

Сначала давайте сделаем резервную копию файлов grub, которые мы будем редактировать — откроем сеанс терминала:

sudo mkdir /etc/grub.d_backup
sudo cp /etc/grub.d/* /etc/grub.d_backup

Давайте создадим имя пользователя для grub:

gksudo gedit /etc/grub.d/00_header &

Прокрутите страницу вниз, добавьте новую пустую строку, скопируйте и вставьте следующее:

cat << EOF
set superusers="myusername"
password myusername xxxx
password recovery 1234
EOF

В этом примере были созданы два имени пользователя:моеимяпользователяивосстановление

Далее — вернитесь в терминал (не закрывайте gedit):

Только для пользователей Natty и Oneiric

Создайте зашифрованный пароль, введя

grub-mkpasswd-pbkdf2

Введите пароль, который вы будете использовать дважды при появлении соответствующего запроса.

Your PBKDF2 is grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

Интересующий нас фрагмент начинается grub.pbkdf2...и заканчиваетсяBBE2646

Выделите этот раздел с помощью мыши, щелкните правой кнопкой мыши и скопируйте его.

Вернитесь к своему geditприложению — выделите текст «xxxx» и замените его тем, что вы скопировали (щелкните правой кнопкой мыши и вставьте).

т.е. линия должна выглядеть так

password myusername grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

все версии «buntu» (lucid и выше)

Сохраните и закройте файл.

Наконец, вам нужно защитить паролем каждую запись меню grub (все файлы, которые имеют строку, начинающуюсязапись в меню):

cd /etc/grub.d
sudo sed -i -e '/^menuentry /s/ {/ --users myusername {/' *

Это добавит новую запись --users myusernameв каждую строку.

Запустите update-grub, чтобы обновить grub.

sudo update-grub

При попытке редактирования записи grub система попросит ввести ваше имя пользователя, например:моеимяпользователяи пароль, который вы использовали.

Перезагрузите компьютер и проверьте, что имя пользователя и пароль применяются при редактировании всех записей grub.

Примечание: не забудьте нажать SHIFTво время загрузки, чтобы отобразить ваш grub.

Режим восстановления с защитой паролем

Все вышеперечисленные проблемы можно легко обойти, используя режим восстановления.

К счастью, вы также можете принудительно ввести имя пользователя и пароль для использования записи меню режима восстановления. В первой части этого ответа мы создаем дополнительное имя пользователя под названиемвосстановлениес паролем1234. Чтобы использовать это имя пользователя, нам нужно отредактировать следующий файл:

gksudo gedit /etc/grub.d/10_linux

измените строку с:

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

К:

if ${recovery} ; then
   printf "menuentry '${title}' --users recovery ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi 

При использовании восстановления используйте имя пользователявосстановлениеи пароль1234

Запустите sudo update-grub, чтобы восстановить файл grub

Перезагрузите компьютер и проверьте, запрашиваются ли у вас имя пользователя и пароль при попытке загрузки в режиме восстановления.

---

Больше информации -http://ubuntuforums.org/showthread.php?t=1369019

Короче говоря, вам нужно:

• Самое важное: Полное шифрование диска с помощью luks. Это защищает от извлечения аппаратного хранилища и атак загрузки на внешний CD-ROM/USB. Шифрования домашнего каталога недостаточно.
• Установите пароль BIOS. Это важно, поскольку /boot все еще не зашифрован, и еще важнее, когда вы храните пароли в TPM.
• Необязательно: установите пароль GRUB.