14

从GRUB菜单将系统引导到恢复模式时，无需输入任何密码即可进入所有功能强大的root用户，因此不安全。

如何确保此安全并确保每次尝试以恢复模式访问root时都要求输入密码？

security grub2

— 詹姆士
source

您是否需要进一步说明？

— Erik Johansson

有人可以在14.04 LTS中阐明如何执行此操作吗？我按照help.ubuntu.com/community/Grub2/Passwords#Password_Encryption上的说明进行了尝试，因此密码不是以纯文本格式存储的，并且根本无法启动计算机-它无法识别密码。另外，我不想用密码保护所有启动，而只是恢复。是的，我知道它并不完全安全，但是我有一个从上流传到密码保护恢复的要求。

— betseyb 2015年

9

在Ubuntu论坛上有一篇关于用密码保护条目的文章，基本上是为了使恢复菜单项要求您以密码1234作为超人登录，您需要编辑一些非常繁琐的config / script文件：

添加到/etc/grub.d/00_header

cat << EOF
set superusers="superman"
password superman 1234
password bill 5678
EOF

更改/etc/grub.d/10_linux

从：

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

至：

if ${recovery} ; then
   printf "menuentry '${title}' --users superman ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi

完善保护非常困难

您需要做的其他事情是用密码保护您的BIOS，禁用从主硬盘驱动器以外的任何设备启动，加密根分区并将任何其他分区挂载为noexec。这仍然留下很多向量。

— 埃里克·约翰逊（Erik Johansson）
source

这看起来很有希望。会检查的。

— 詹姆士

我找不到那条线@Ron

— Randol Albert

2

保护系统免受对计算机具有物理访问权限的攻击者的唯一可靠方法是全磁盘加密。

— 亚当·伯特克
source

或锁定BIOS

— Reuben Swartz'3

1

一旦可以访问硬件，就很容易重置BIOS密码。但是，只要AES是安全的，使用好的密码短语加密的磁盘（免于字典攻击）将保持安全。

— 亚当·伯瑞克

这并不是一件容易的事，因为您经常需要工具和另一台计算机来执行此操作。

— Erik Johansson

这完全取决于威胁模型。

— 亚当·伯瑞克

0

如果数据未加密，则无法保护，但可以保护root用户。当任何人尝试通过访问您的磁盘时recovery mode，他/他需要密码。

设置root密码

sudo passwd root #set new password for user named root

测试根访问

su

— 山塔努
source

如何保护GRUB恢复模式

设置root密码

测试根访问