Comment puis-je empêcher quelqu'un de réinitialiser mon mot de passe avec un Live CD?

55

Récemment, un de mes amis est venu chez moi. En 15 minutes, il a piraté mon compte à l'aide d'un Live CD et réinitialisé le mot de passe qui se trouvait devant moi. J'ai été dérouté de voir une telle chose. Merci de me guider pour empêcher une telle tentative future d’utiliser un Live CD.

codeur
la source
10
Débranchez le lecteur de disque optique.
Anonyme
7
Cela peut vous intéresser de savoir qu’il est possible de faire la même chose sous Windows; Quand je travaillais dans les technologies de l'information dans une grande université, j'avais un CD avec moi pour me permettre de le faire si nécessaire. Aucun ordinateur n'est vraiment sécurisé si l'on peut démarrer à partir d'un autre support.
Kelley
4
Une voix creuse murmura "le chiffrement intégral du disque".
Josué

Réponses:

56

Un moyen rapide et facile de faire cela consiste à désactiver le démarrage à partir de CD et de clés USB de votre BIOS et à définir un mot de passe pour le BIOS.

Selon cette page wiki :

Le placement de mots de passe ou d'éléments de menu verrouillés (dans les fichiers de configuration Grub) n'empêche pas un utilisateur de démarrer manuellement à l'aide de commandes entrées à l'aide de la ligne de commande grub.

Cependant, rien n'empêche quelqu'un de voler votre disque dur et de le monter sur une autre machine, ou de réinitialiser votre BIOS en retirant la batterie ou l'une des autres méthodes qu'un attaquant peut utiliser lorsqu'il a un accès physique à votre machine.

Un meilleur moyen serait de chiffrer votre lecteur. Vous pouvez le faire en chiffrant votre répertoire personnel ou en chiffrant l'intégralité du disque:

Jorge Castro
la source
2
Cela ne suffit pas - vous devez également désactiver le mode de récupération et verrouiller GRUB2 afin que les options d'amorçage ne puissent pas être spécifiées (ou ne puissent pas être spécifiées sans entrer de mot de passe). Une fois que tout cela est fait, non seulement cela n’empêche pas une personne de voler le disque dur, mais une personne qui ouvre l’ordinateur peut désactiver le mot de passe du BIOS et une personne qui ne veut pas ouvrir l’ordinateur peut vraisemblablement voler l’ensemble de l’ordinateur.
Eliah Kagan
mais mon pote, si quelqu'un venait juste de prendre mon disque dur ouvert / etc / shadow changeait mon mot de passe crypté puis redémarrait le répertoire personnel crypté s'ouvrirait aussi pour lui
codeur
10
@shariq Si quelqu'un change votre mot de passe juste dans / etc / shadow, le répertoire personnel crypté ne s'ouvrira pas si quelqu'un ouvre une session avec le nouveau mot de passe. Dans ce cas, le répertoire personnel crypté devrait être monté manuellement avec l'ancien mot de passe, et si personne ne connaissait l'ancien mot de passe, il devrait être fissuré, ce qui serait difficile et risquait d'échouer. Lorsque vous chiffrez votre répertoire de base, modifier votre mot de passe en modifiant / etc / shadow ne modifie pas le mot de passe avec lequel vos données sont cryptées.
Eliah Kagan
@EliahKagan Je ne peux pas vous dire comment faire cela. J'ai donc cité la page du wiki. Si vous trouvez d'autres informations, n'hésitez pas à les modifier dans ma réponse.
Jorge Castro
6
+1 La première chose qui me vint à l'esprit fut de chiffrer le répertoire personnel.
Nathan Osman
50

Tenez-vous à côté de votre ordinateur tout en tenant une batte de tee-ball. Battez sévèrement quiconque se rapproche.

Ou le verrouiller.

Si votre ordinateur est physiquement accessible, il est dangereux.

Mdebusk
la source
18
Comment cela nous protège-t-il des hommes avec des gros chiens et des mitraillettes? : D
jrg
3
ordinateur sécurisé avec des chiens et utiliser des caméras de sécurité pour protéger les chiens et dans la chambre d'à côté des armes à feu motion
Kangarooo
3
+1 pour le sérieux de cette réponse. Vous avez vraiment fait du bon travail ici et méritez les votes.
RolandiXor
1
+1 pour la bonne réponse et les commentaires .. Je ne pouvais tout simplement pas m'arrêter de rire fort !! : D :) @jrg était à son meilleur .. ha ha ha ha .. :) C'est bien de voir ce genre de chose dans askubuntu.
Saurav Kumar
26

D'abord l'avertissement ...

La procédure de protection par mot de passe grub2 peut être assez délicate et si vous vous trompez, il est possible que vous vous laissiez avec un système qui ne démarre pas. Il faut donc toujours commencer par faire une sauvegarde complète de l'image de votre disque dur. Ma recommandation serait d'utiliser Clonezilla - un autre outil de sauvegarde tel que PartImage pourrait également être utilisé.

Si vous voulez vous y exercer, utilisez un invité d'ordinateur virtuel sur lequel vous pouvez restaurer un instantané.

Commençons

La procédure ci-dessous protège les modifications non autorisées des paramètres Grub lors du démarrage. En d'autres termes, evous pouvez appuyer sur la touche Editer pour modifier les options de démarrage. Vous pouvez par exemple forcer le démarrage en mode mono-utilisateur et avoir ainsi accès à votre disque dur.

Cette procédure doit être utilisée conjointement avec le chiffrement du disque dur et une option de démarrage sécurisé du bios pour empêcher le démarrage à partir du cd réel, comme décrit dans la réponse à cette question.

presque tout ce qui se trouve en dessous peut être copié et collé ligne par ligne.

Commençons par sauvegarder les fichiers grub que nous allons éditer - ouvrez une session de terminal:

sudo mkdir /etc/grub.d_backup
sudo cp /etc/grub.d/* /etc/grub.d_backup

Permet de créer un nom d'utilisateur pour grub:

gksudo gedit /etc/grub.d/00_header &

Faites défiler vers le bas, ajoutez une nouvelle ligne vide, copiez et collez les éléments suivants:

cat << EOF
set superusers="myusername"
password myusername xxxx
password recovery 1234
EOF

Dans cet exemple, deux noms d'utilisateur ont été créés: myusername et recovery.

Suivant - retournez au terminal (ne fermez pas gedit):

Utilisateurs Natty et Oneiric uniquement

Générez un mot de passe crypté en tapant

grub-mkpasswd-pbkdf2

Entrez votre mot de passe que vous utiliserez deux fois lorsque vous y êtes invité

Your PBKDF2 is grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

Le bit qui nous intéresse commence grub.pbkdf2...et finitBBE2646

Mettez cette section en surbrillance avec votre souris, faites un clic droit et copiez-le.

Revenez à votre geditapplication - mettez en surbrillance le texte "xxxx" et remplacez-le par ce que vous avez copié (clic droit et coller)

c'est-à-dire que la ligne devrait ressembler à

password myusername grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

toutes les versions 'buntu (lucides et supérieures)

Enregistrez et fermez le fichier.

Enfin, vous devez protéger par mot de passe chaque entrée de menu grub (tous les fichiers qui ont une ligne qui commence menuentry ):

cd /etc/grub.d
sudo sed -i -e '/^menuentry /s/ {/ --users myusername {/' *

Cela va ajouter une nouvelle entrée --users myusernameà chaque ligne.

Exécutez update-grub pour régénérer votre grub

sudo update-grub

Lorsque vous essayez de modifier une entrée grub, il vous demandera votre nom d'utilisateur, par exemple myusername et le mot de passe que vous avez utilisé.

Redémarrez et testez que le nom d'utilisateur et le mot de passe sont appliqués lors de l'édition de toutes les entrées grub.

NB: n'oubliez pas d'appuyer sur SHIFTlors du démarrage pour afficher votre fichier.

Mot de passe protégeant le mode de récupération

Tout ce qui précède peut facilement constituer une solution de contournement en utilisant le mode de récupération.

Heureusement, vous pouvez également forcer un nom d'utilisateur et un mot de passe à utiliser l'entrée de menu en mode récupération. Dans la première partie de cette réponse, nous créons un nom d'utilisateur supplémentaire appelé recovery avec un mot de passe de 1234 . Pour utiliser ce nom d'utilisateur, nous devons éditer le fichier suivant:

gksudo gedit /etc/grub.d/10_linux

changer la ligne de:

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

À:

if ${recovery} ; then
   printf "menuentry '${title}' --users recovery ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi 

Lorsque vous utilisez la récupération, utilisez le nom d'utilisateur recovery et le mot de passe 1234.

Exécuter sudo update-grubpour régénérer votre fichier grub

Redémarrez et testez le nom d'utilisateur et le mot de passe qui vous sont demandés lorsque vous essayez de démarrer en mode de récupération.


Plus d'informations - http://ubuntuforums.org/showthread.php?t=1369019

fossfreedom
la source
Salut! J'ai suivi votre tutoriel et cela fonctionne ... sauf si vous choisissez d'autres versions, où vous pouvez utiliser la clé "E" sans mot de passe
gsedej
Raring n'a pas la ligne printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"pour la récupération mais une ligne similaire dans une fonction if. Pourriez-vous conseiller comment l'éditer?
papukaija
5

Il est important de se rappeler que si une personne a un accès physique à votre machine, elle sera toujours capable de faire des choses sur votre PC. Des choses comme verrouiller le boîtier de votre PC et les mots de passe du BIOS n'empêcheront pas une personne déterminée de prendre votre disque dur et vos données.

des ballons
la source
3
Dans certaines circonstances, cela empêchera même une personne déterminée d’ utiliser votre disque dur et vos données. Par exemple, s’il s’agit d’un kiosque dans un cybercafé doté d’une bonne sécurité physique (caméras de surveillance, gardes de sécurité, propriétaires / employés vigilants), une personne déterminée pourrait tout de même essayer de voler physiquement la machine ou son disque dur, mais échouer.
Eliah Kagan
4
Par ailleurs, si vous volez le disque dur d’une machine dont les données sont cryptées, vous devrez alors déchiffrer le cryptage pour accéder aux données. Avec des mots de passe de bonne qualité, cela pourrait être extrêmement difficile ... ou peut-être même impossible.
Eliah Kagan
-2

Vous pouvez faire en sorte que même en cas de réinitialisation, le "resetteur" ne puisse pas voir les données.

Pour ce faire, il suffit de chiffrer /home.

Si vous voulez faire en sorte que la réinitialisation ne soit pas possible, vous devez supprimer quelque chose, qui est chargé de changer le mot de passe.

Kangourou
la source
L'accès à vos fichiers personnels n'est pas la seule préoccupation. Si, par exemple, votre compte dispose de sudoprivilèges, il n’est pas nécessaire /homequ’ils causent des dommages importants.
Kevin