Я был потрясен, обнаружив, что мой пароль можно легко сбросить.через командную строку. Означает ли это, что любой, имеющий физический доступ к моему компьютеру, может сбросить пароль и прочитать зашифрованное содержимое моей домашней папки? Если да, то как мне предотвратить это?
решение1
Означает ли это, что любой, имеющий физический доступ к моему компьютеру, может сбросить пароль и прочитатьзашифрованное содержимоемоей домашней папки?
Нет, домашнее шифрование связано счтопароль, поэтому если я украду ваш компьютер и изменю пароль пользователя, я не смогулегко(подробнее об этом позже) расшифровать данные.
Тем не менее, доступ к режиму восстановления означает получение прав root на диске, и как root я могу написать скрипт для работы чего угодно в фоновом режиме... Я мог бы внедрить кейлоггер или другую гадость, чтобы вынюхивать ваш пароль, когда вы его вводите, или получить доступ к данным после расшифровки без вашего ведома.
Ты можешьотключить режим восстановленияилиустановить пароль на grubчтобы предложить пользователю что-то, кроме стандартного варианта. Конечно, кто-то может вставить загрузочный USB-накопитель или DVD и смонтировать диск снаружи, поэтому вам также следует изменить порядок загрузки (и защитить BIOS паролем), чтобы загрузка производилась только с первого жесткого диска.
Это останавливает самых ленивых хакеров. Если у кого-то есть отвертка, ноутбук и шина SATA→USB, они могут просто вытащить диск и установить его на свой ноутбук, сменить пароль и вернуть все на место. Я думаю, что я мог бы сделать все это менее чем за пять минут. На ноутбуке это займет еще меньше времени, поскольку их диски часто более доступны.
Если хочешь победить меня, тебе нужнозашифровать все во время установки. Это означает переустановку и необходимость каждый раз вводить пароль.
Но даже тогда, как говорит Доби, если яДействительнонужны данные, я клонирую диск как файл образа raw (~20 минут) и использую кластер EC2 для его взлома (часы, дни, недели)... Или гаечный ключ за 5 долларов и ваши пальцы (секунды)...
решение2
Вместо этого используйте полное шифрование диска. И ограничьте физический доступ к вашей машине.
Если кто-то имеет физический доступ к вашему компьютеру, он может просто украсть ваш диск и перенести его в другое место, чтобы в конечном итоге взломать и шифрование.