我們有一個 Linux 硬碟,不想讓其他人透過掛載和 Live CD 來侵入它。我想也許用密碼保護 grub 是可能的。但我們需要運行所有服務和腳本(例如 init.d 資料夾中)。我們不想加密所有磁碟。請問可以幫忙嗎?
謝謝!
答案1
如果我理解正確的話,您的機器有內部 HHD,並且您希望防止用戶使用 live-cd 進行未經授權的訪問,這是正確的嗎?
如果是這樣,你應該調查一下全驅動器加密。我知道您說過您不想加密整個驅動器,但我相信加密將是唯一的方法。
您可以對其進行分割,以便所有安全文件都位於將加密的單獨分割區上,而另一個分割區則用於不加密的安全性較低的文件,而不是加密整個 HDD。
[據我所知]沒有辦法在沒有加密的情況下對 HDD 進行密碼保護,從而阻止 live-cd 上的用戶安裝磁碟。
編輯
我不建議這樣做,但是這是OP建議提出的另一種可能性。
在任何給定的儲存裝置上,磁碟機的前 512 位元組是 MBR 和分割區表。這是定義磁碟機上所有分割區的部分。
一種可能是,在卸載磁碟機後,在關機腳本中建立ddMBR 的備份映像,然後再建立0它。同樣,在啟動時,在系統安裝磁碟機之前恢復該 MBR。
備份 MBR 的具體位置以及腳本將從何處運行的具體資訊需要您自己確定,因為我之前在啟動時沒有這樣做過。
建立 MBR 的備份
dd if=/dev/sda of=/media/somewhere/mbr.bak bs=512 count=1
將 MBR 設為 0
dd if=/dev/null of/dev/sda bs=512 count=1
恢復 MBR
dd if=/dev/somewhere/mbr.bak of=/dev/sda bs=512 count=1
再次強調,執行此操作時要非常小心,並確保在具有實時可啟動作業系統的 USB 驅動器上建立 MBR 的備份,以便在出現任何問題時可以將其還原。
需要弄清楚關閉腳本和啟動腳本中的具體位置,因為需要從已安裝的磁碟機讀取 MBR,並且無法安裝沒有 MBR 的磁碟機。