首先警告...

Question 1

拿著發球棒站在電腦旁。凡是靠近的人都會被狠狠地打一頓。

或把它鎖起來。

如果您的電腦可以物理訪問，則它是不安全的。

Answer

拿著發球棒站在電腦旁。凡是靠近的人都會被狠狠地打一頓。

或把它鎖起來。

如果您的電腦可以物理訪問，則它是不安全的。

Question 2

一種快速而簡單的方法是在 BIOS 中停用從 CD 和 USB 記憶棒啟動並設定 BIOS 密碼。

根據這個維基頁面:

設定密碼或鎖定選單項目（在 Grub 設定檔中）不會阻止使用者使用在 grub 命令列中輸入的命令手動引導。

但是，沒有什麼可以阻止某人竊取您的硬碟並將其安裝到另一台電腦上，或者透過卸下電池來重置BIOS，或者攻擊者在物理訪問您的電腦時可以使用的其他方法之一。

更好的方法是加密您的驅動器，您可以透過加密您的主目錄或加密整個磁碟來實現此目的：

Answer

一種快速而簡單的方法是在 BIOS 中停用從 CD 和 USB 記憶棒啟動並設定 BIOS 密碼。

根據這個維基頁面:

設定密碼或鎖定選單項目（在 Grub 設定檔中）不會阻止使用者使用在 grub 命令列中輸入的命令手動引導。

但是，沒有什麼可以阻止某人竊取您的硬碟並將其安裝到另一台電腦上，或者透過卸下電池來重置BIOS，或者攻擊者在物理訪問您的電腦時可以使用的其他方法之一。

更好的方法是加密您的驅動器，您可以透過加密您的主目錄或加密整個磁碟來實現此目的：

Question 3

首先警告...

grub2 密碼保護過程可能非常棘手，如果您弄錯了，則可能會導致系統無法啟動。因此總是首先對您的硬碟進行完整的映像備份。我的建議是使用克隆屬- 另一個備份工具，例如零件影像也可以使用。

如果您想練習這一點 - 使用可以回滾快照的虛擬機器來賓。

讓我們開始

以下程序可保護引導時對 Grub 設定進行未經授權的編輯 - 也就是說，按e編輯鍵可以變更引導選項。例如，您可以強制啟動到單一使用者模式，從而可以存取您的硬碟。

此過程應與硬碟加密和安全 BIOS 引導選項結合使用，以防止從 live cd 引導，如該問題的相關答案中所述。

下面幾乎所有內容都可以一次複製並貼上一行。

首先讓我們備份我們將要編輯的 grub 檔案 - 開啟終端會話：

sudo mkdir /etc/grub.d_backup
sudo cp /etc/grub.d/* /etc/grub.d_backup

讓我們為 grub 建立一個使用者名稱：

gksudo gedit /etc/grub.d/00_header &

捲動到底部，新增一個新的空白行並複製並貼上以下內容：

cat << EOF
set superusers="myusername"
password myusername xxxx
password recovery 1234
EOF

在此範例中建立了兩個使用者名稱：我的用戶名和恢復

接下來 - 導航回終端機（不要關閉gedit）：

僅限 Natty 和 Oneiric 用戶

透過輸入產生加密密碼

grub-mkpasswd-pbkdf2

輸入您將在出現提示時使用兩次的密碼

Your PBKDF2 is grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

我們感興趣的部分開始grub.pbkdf2...和結束BBE2646

使用滑鼠突出顯示此部分，右鍵單擊並複製它。

切換回您的gedit應用程式 - 突出顯示文字“xxxx”並將其替換為您複製的內容（右鍵單擊並貼上）

即該行應該看起來像

password myusername grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

所有 'buntu 版本（lucid 及以上）

儲存並關閉文件。

最後，您需要用密碼保護每個 grub 選單項目（所有具有以下行開頭的檔案）選單項目）：

cd /etc/grub.d
sudo sed -i -e '/^menuentry /s/ {/ --users myusername {/' *

這將為--users myusername每一行新增一個條目。

執行 update-grub 重新產生 grub

sudo update-grub

當您嘗試編輯 grub 條目時，它會詢問您的用戶名，即我的用戶名以及您使用的密碼。

重新啟動並測試在編輯所有 grub 項目時是否強制執行使用者名稱和密碼。

請注意，請記得SHIFT在啟動時按來顯示您的 grub。

密碼保護恢復模式

透過使用恢復模式可以輕鬆解決上述所有問題。

幸運的是，您還可以強制輸入使用者名稱和密碼來使用恢復模式選單項目。在此答案的第一部分中，我們建立一個名為的附加使用者名恢復密碼為1234。要使用此用戶名，我們需要編輯以下文件：

gksudo gedit /etc/grub.d/10_linux

將行從：

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

到：

if ${recovery} ; then
   printf "menuentry '${title}' --users recovery ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi

使用恢復時使用使用者名稱恢復和密碼1234

運行sudo update-grub以重新生成 grub 文件

重新啟動並測試嘗試啟動進入恢復模式時是否要求您輸入使用者名稱和密碼。

更多資訊 -http://ubuntuforums.org/showthread.php?t=1369019

Answer

首先警告...

grub2 密碼保護過程可能非常棘手，如果您弄錯了，則可能會導致系統無法啟動。因此總是首先對您的硬碟進行完整的映像備份。我的建議是使用克隆屬- 另一個備份工具，例如零件影像也可以使用。

如果您想練習這一點 - 使用可以回滾快照的虛擬機器來賓。

讓我們開始

以下程序可保護引導時對 Grub 設定進行未經授權的編輯 - 也就是說，按e編輯鍵可以變更引導選項。例如，您可以強制啟動到單一使用者模式，從而可以存取您的硬碟。

此過程應與硬碟加密和安全 BIOS 引導選項結合使用，以防止從 live cd 引導，如該問題的相關答案中所述。

下面幾乎所有內容都可以一次複製並貼上一行。

首先讓我們備份我們將要編輯的 grub 檔案 - 開啟終端會話：

sudo mkdir /etc/grub.d_backup
sudo cp /etc/grub.d/* /etc/grub.d_backup

讓我們為 grub 建立一個使用者名稱：

gksudo gedit /etc/grub.d/00_header &

捲動到底部，新增一個新的空白行並複製並貼上以下內容：

cat << EOF
set superusers="myusername"
password myusername xxxx
password recovery 1234
EOF

在此範例中建立了兩個使用者名稱：我的用戶名和恢復

接下來 - 導航回終端機（不要關閉gedit）：

僅限 Natty 和 Oneiric 用戶

透過輸入產生加密密碼

grub-mkpasswd-pbkdf2

輸入您將在出現提示時使用兩次的密碼

Your PBKDF2 is grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

我們感興趣的部分開始grub.pbkdf2...和結束BBE2646

使用滑鼠突出顯示此部分，右鍵單擊並複製它。

切換回您的gedit應用程式 - 突出顯示文字“xxxx”並將其替換為您複製的內容（右鍵單擊並貼上）

即該行應該看起來像

password myusername grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

所有 'buntu 版本（lucid 及以上）

儲存並關閉文件。

最後，您需要用密碼保護每個 grub 選單項目（所有具有以下行開頭的檔案）選單項目）：

cd /etc/grub.d
sudo sed -i -e '/^menuentry /s/ {/ --users myusername {/' *

這將為--users myusername每一行新增一個條目。

執行 update-grub 重新產生 grub

sudo update-grub

當您嘗試編輯 grub 條目時，它會詢問您的用戶名，即我的用戶名以及您使用的密碼。

重新啟動並測試在編輯所有 grub 項目時是否強制執行使用者名稱和密碼。

請注意，請記得SHIFT在啟動時按來顯示您的 grub。

密碼保護恢復模式

透過使用恢復模式可以輕鬆解決上述所有問題。

幸運的是，您還可以強制輸入使用者名稱和密碼來使用恢復模式選單項目。在此答案的第一部分中，我們建立一個名為的附加使用者名恢復密碼為1234。要使用此用戶名，我們需要編輯以下文件：

gksudo gedit /etc/grub.d/10_linux

將行從：

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

到：

if ${recovery} ; then
   printf "menuentry '${title}' --users recovery ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi

使用恢復時使用使用者名稱恢復和密碼1234

運行sudo update-grub以重新生成 grub 文件

重新啟動並測試嘗試啟動進入恢復模式時是否要求您輸入使用者名稱和密碼。

更多資訊 -http://ubuntuforums.org/showthread.php?t=1369019

Question 4

簡而言之，您需要：

最重要的是：使用 luks 進行全碟加密。這可以防止硬體儲存提取和引導到外部 CD-ROM/USB 攻擊。加密主目錄是不夠的。
設定BIOS密碼。這很重要，因為 /boot 仍未加密，而且當您將密碼儲存在 TPM 中時更重要。
可選：設定 GRUB 密碼。

Answer

簡而言之，您需要：

最重要的是：使用 luks 進行全碟加密。這可以防止硬體儲存提取和引導到外部 CD-ROM/USB 攻擊。加密主目錄是不夠的。
設定BIOS密碼。這很重要，因為 /boot 仍未加密，而且當您將密碼儲存在 TPM 中時更重要。
可選：設定 GRUB 密碼。

首先警告...

答案1

答案2

答案3

首先警告...

讓我們開始

答案4

相關內容