Comment demander un mot de passe en mode mono-utilisateur?
J'ai appris que je peux démarrer en mode mono-utilisateur (ou peu importe comment on l'appelle) en appuyant sur Ctrl+e dans le menu Grub2 et en ajoutant single à la bonne ligne du script de démarrage. Tout cela est bon - cela m'a sauvé un tas de fois quand j'ai foiré quelque chose: P
Cependant, j'ai remarqué que lorsque je le fais, j'obtiens un accès root essentiellement gratuit - je ne dois jamais entrer de mot de passe ni prouver mon identité. Cela semble dangereux - la commande au clavier pour modifier le script de démarrage est de notoriété publique. Ainsi, toute personne ayant accès à mon ordinateur peut simplement l'éteindre (de force, si nécessaire, via le bouton d'alimentation) et l'activer à nouveau, modifier le script de démarrage et accéder à la racine. accès à mon ordinateur.
Je ne veux pas ça.
Que dois-je configurer pour forcer un mot de passe pour des sessions mono-utilisateur?
(Ce n'est probablement pas pertinent, mais j'ai paramétré mes options de démarrage pour que je démarre directement sur le bureau, en sautant l'écran de connexion. C'est OK, car je dois encore taper un Mot de passe pour Sudo, mais je n'aime pas l'idée de donner à quelqu'un un accès root aussi facilement ...)
Si vous définissez un mot de passe pour l'utilisateur root, ce mot de passe vous sera également demandé pour vous connecter en mode utilisateur unique.
Il existe un guide assez complet sur ajouter un mot de passe à grub sur UbuntuForums .
Il existe probablement d'autres options adaptées à l'invite d'utilisateur unique, mais peu importe la façon dont vous gérez les choses ici , ce n'est pas vraiment une sécurité . Quelqu'un pourrait simplement coller un Live stick ou un CD et il aura soudainement accès à la racine et à toutes vos données. Ou le pourrait tirer le disque (prend quelques secondes) et le brancher sur un autre ordinateur.
Soyons paranoïa pendant une minute. Considérez combien de temps cela prendrait pour:
- Enlevez le côté de votre ordinateur,
- Retirez les câbles du lecteur,
- Branchez un adaptateur SATA-> USB pour relier le lecteur à un ordinateur portable,
- Monter le lecteur
- Changez ce que vous voulez
- Démontez et remplacez les câbles d'origine et le boîtier du PC.
Avec un accès physique, je pense pouvoir accéder à vos données et disparaître en deux minutes. Peut-être un peu plus longtemps s'il s'agit d'un ordinateur portable avec 200 vis entre moi et le disque. Si vous transportez des données précieuses et sensibles (ou si vous les laissez sur un ordinateur de bureau sans surveillance), cela devrait être une pensée effrayante.
Le meilleur moyen de dissuasion est le chiffrement intégral du disque via quelque chose comme LUKS:
Même si quelqu'un essaie quelque chose, c'est un cauchemar à décoder (souvenez-vous que si vous ne faites pas de sauvegardes, les techniques de récupération de données standard pas fonctionneront). Ils n’auront pas le temps de faire quoi que ce soit sur le site, un clonage de disque prend des heures pour la plupart des disques et même s’il suffit de soulever le disque, cela vous donne la possibilité de modifier les mots de passe, les comptes, etc. les données sur ce disque.
Le chiffrement intégral du disque avec un fichier de clé sur une clé USB le ferait tant que vous ne le laissiez pas branché.
Le ver de verrouillage est couvert ici . Je ne crois pas au verrouillage de grub car tout ce qu'il faut, c'est un DVD/CD/clé USB en direct.