Evite hackear o grub.conf usando um 'live rescue' de um live linux iso

3

Aconteceu que eu tinha definido a senha do grub no grub.conf. Mas, usando um live linux iso, consegui deletar a senha do grub.conf. Por favor, leia os passos para o mesmo mencionado neste link: link

Em vez de editar menu.lst, editei o grub.conf. Descanse todos os passos mesmo

A minha pergunta é: Existe uma maneira de evitar esse tipo de invasão? Quando tentei resgatar, o sistema mostrou uma mensagem dizendo que, se não for capaz de resgatá-lo (ou seja, se falhar na montagem do disco rígido no diretório: / mnt / sysimage), desejo continuar / ignorar / abortar.

Então, eu sinto que deve haver uma maneira concreta de impedir tais hacks, fazendo algo com as montagens / boot, etc, o que impedirá a montagem em / mnt / sysimage.

Qualquer ajuda seria valiosa

Editar:

PS: Por favor, reconsidere este ambiente para um ambiente virtualizado em que a VM real no VSphere é uma VM linux, e eu preciso desabilitar / excluir o CD / DVD-Rom e a inicialização da rede do BIOS. Depois de fazer todas essas coisas, eu quero re-empacotar a VM em .ovf e verificar se o novo ovf tem as restrições do BIOS ou não.

    
por GodMan 21.08.2012 / 14:57

2 respostas

4

Além da senha do grub, você também precisa configurar o BIOS para não permitir a inicialização a partir de outra mídia que não seja o dispositivo que contém seu sistema operacional principal. Você desejará definir uma senha do BIOS para que essa configuração não seja alterada.

A menos que suas unidades sejam criptografadas, o acesso físico à máquina é o acesso aos seus dados. Mesmo com uma senha do BIOS, o CMOS pode ser redefinido abrindo o chassi e removendo a bateria.

    
por 21.08.2012 / 15:58
1

Você pode colocar todas as restrições que quiser no bootloader que está no disco, isso não ajuda se alguém inicializar sem usar o bootloader.

Você pode apertar configurando seu BIOS para recusar a inicialização de qualquer outra mídia, em particular de discos removíveis ou através da rede. Certifique-se de colocar uma senha da BIOS para que o invasor não possa alterar a configuração.

Se o invasor tiver acesso ao disco e puder inseri-lo em outra máquina, nada que você possa fazer com o carregador de inicialização ou com a BIOS impedirá que ele leia o conteúdo do disco (incluindo a execução do sistema operacional no disco ). Nesse caso, seu único recurso é fazer com que a leitura do disco não seja útil para o invasor: criptografe o disco com dm-crypt , e não diga ao invasor a frase secreta (que você terá que digitar quando inicializar, para que seu computador saiba que é você).

    
por 22.08.2012 / 02:17