Se você definir uma senha para o usuário root , essa senha também será necessária para efetuar login no modo de usuário único.
Eu aprendi que posso inicializar no modo de usuário único (ou o que quer que seja chamado) apertando Ctrl + e no menu do Grub2 e adicionando single ao linha correta no script de inicialização. Isso tudo é bom - me salvou várias vezes quando estraguei alguma coisa: P
No entanto, notei que quando faço isso, obtenho acesso root basicamente de graça - nunca preciso digitar uma senha ou provar minha identidade. Isso parece inseguro - o comando de teclado para editar o script de boot é de conhecimento geral, então qualquer um com acesso ao meu computador pode simplesmente desligá-lo (forçosamente, se necessário, através do botão liga / desliga) e novamente, editar o script de inicialização e ter raiz acesso ao meu computador.
Eu não quero isso.
O que preciso configurar para forçar uma senha para sessões de usuário único?
(provavelmente não é relevante, mas eu configurei minhas opções de inicialização para que eu inicializasse direto na área de trabalho, pulando a tela de login. Tudo bem, já que ainda preciso digitar uma senha para sudo , mas eu não gosto da idéia de dar acesso root a ninguém tão facilmente ...)
Se você definir uma senha para o usuário root , essa senha também será necessária para efetuar login no modo de usuário único.
Existe um guia bastante completo sobre como adicionar uma senha para o UbuntuForums .
Provavelmente existem outras opções personalizadas para o prompt de usuário único, mas, no entanto, você lida com as coisas lá, não é realmente segurança . Alguém poderia simplesmente colocar um Live stick ou um CD e de repente eles têm acesso root e todos os seus dados. Ou pode puxar o disco (leva segundos) e conectá-lo em outro computador.
Vamos ficar paranoicos por um minuto. Pense em quanto tempo levaria para:
Com acesso físico, acho que consegui acessar seus dados e desaparecer em dois minutos. Talvez um pouco mais, se é um laptop com 200 parafusos entre mim e o disco. Se você estiver carregando dados valiosos e confidenciais (ou deixando-os em uma área de trabalho desacompanhada), isso deve ser um pensamento assustador.
O melhor impedimento é a criptografia completa do disco através de algo como o LUKS:
Mesmo que alguém tente algo, é um pesadelo decodificar (lembre-se de que, se você não fizer backups, as técnicas padrão de recuperação de dados não funcionarão). Eles não terão tempo para fazer nada no site, um clone de disco leva horas para a maioria dos discos e mesmo que eles levantem o disco, isso lhe dá a oportunidade de correr atrás de senhas, contas, etc. que podem se tornar inseguras dados nesse disco.
A criptografia completa do disco com um arquivo-chave em um pen drive faria isso contanto que você não o deixasse conectado.
O bloqueio do grub é coberto aqui . Eu não acredito em travar o grub, já que tudo o que é necessário é um DVD / CD / Thumbdrive ao vivo.