Como impedir a instalação persistente no USB de acessar o HDD

Navegue suas respostas
1

Como posso impedir que uma instalação Persistente ou Completa no USB acesse o HDD do computador?

Se eu fizer login como convidado, não consigo acessar o disco rígido, no entanto, não há persistência entre as sessões. Eu gostaria de salvar entre as sessões.

Se eu criar um usuário "padrão", o disco rígido pode ser acessado após o fornecimento de uma senha. Eu não quero nenhuma possibilidade de acesso ao HDD enquanto inicializado a partir do pen drive.

Eu me lembro em versões anteriores do Ubuntu, havia um menu suspenso para privilégios de usuário. Não consigo encontrá-lo em 14.04 ou posterior.

Há informações na internet sobre como limitar o acesso usando permissões, mas parece muito mais complexo do que um menu suspenso.

    
por C.S.Cameron 27.07.2017 / 02:48

2 respostas

3

Unidade viva persistente com um usuário padrão, que não pode montar unidades internas

Eu fiz um live drive persistente com mkusb de ubuntu-16.04.1-desktop-amd64.iso , que tem o suporte mais longo dos atuais arquivos iso.

Um ID de usuário padrão (ao lado do usuário do sistema live ao vivo 'ubuntu') não pode executar programas que precisam de sudo : 'padrão não está no arquivo sudoers. Este incidente será relatado.' As partições na unidade interna não estão montadas. Para montá-los, você precisa de sudo de permissões para mount e udisksctl .

O sistema live persistente inicializará o usuário do Ubuntu, e você sairá para mudar para o usuário padrão.

Criptografar em casa com users-admin

É possível criar o ID de usuário padrão com a casa criptografada e o login com uma senha [boa]. Isso pode ser feito facilmente, se o programa users-admin estiver instalado, ativando o repositório universe e instalando o pacote gnome-system-tools . 

sudo add-apt-repository universe
sudo apt update
sudo apt install gnome-system-tools

Marque a caixa de acordo com a captura de tela para criar o novo usuário com a senha criptografada.

O computador deve ser desligado ou reinicializado após usar a casa criptografada. Caso contrário, o usuário ativo (ou outro usuário) obtém acesso aos dados criptografados.

Unidade viva persistente com um usuário padrão e um usuário com permissões de administração

Eu fiz um live drive persistente com mkusb de ubuntu-16.04.2-desktop-amd64.iso , que é um arquivo iso LTS mais novo, para testar se essas tarefas funcionam com mais de um arquivo iso.

Em alguns computadores, o sistema pode deixá-lo com uma tela preta após o login (após um logout). Isso pode depender do driver de gráficos. Se isso acontecer, você pode fazer algo com o mouse ou o teclado para acessar a área de trabalho. Se ainda não tiver sorte, você pode entrar em uma tela de texto e, em seguida, retornar à tela gráfica com as combinações de teclas de atalho

ctrl + alt + F1

ctrl + alt + F7

É possível criar outra ID de usuário com permissões de administração, que podem gerenciar tarefas do sistema, por exemplo, instalar e atualizar pacotes de programas (se você quiser separar as tarefas por motivos de segurança). Um (ou ambos) ID (s) de usuário pode (m) ser feito (s) com a senha criptografada, se desejar.

Com estes dois IDs de usuário, será possível remover o usuário normal do sistema ao vivo, 'ubuntu'. Você pode fazer isso a partir do ID do usuário com permissões de administração depois de matar os processos que estão sendo executados com o usuário 'ubuntu' 

ps -Af | grep ubuntu  # identify which processes to kill
sudo kill <the PID numbers that you found (without any brackets)>

sudo deluser ubuntu

Depois disso, você também pode remover o conteúdo da partição 'casper-rw' (ou arquivo) referente ao usuário excluído (se desejar), mas provavelmente não há muitos dados, portanto, não é muito importante, a menos que você suspeite alguns dados confidenciais.

Agora, após remover o usuário normal do sistema ao vivo, 'ubuntu', o sistema live persistente inicializará a tela de login, e você poderá selecionar qual ID de usuário efetuar login, usuário padrão ou usuário com permissões de administração Eu gosto deste comportamento, e eu acho que vale a pena o esforço extra (comparado a um sistema com um usuário padrão ao lado do usuário do sistema 'ubuntu').

O backup é importante

O backup frequente é importante, porque é um

  • sistema ativo persistente (torna-o sensível)

  • um sistema criptografado (dificulta a reparação / recuperação).

Veja este link: Backup e restauração de dados de sobreposição persistentes

Segurança - desative a troca

Se esse tipo de sistema encontrar uma partição de troca na unidade interna, ela provavelmente a usará e poderá deixar rastros que não são criptografados. Então, por favor desligue a troca se houver uma partição de troca do Linux em uma unidade interna no computador, onde você está executando o sistema.

Você deve fazer login ou 'su' no ID do usuário com permissões de administração, 'guru', para desativar a troca 

su - guru
/sbin/swapon -s  # check
sudo /sbin/swapoff -a
/sbin/swapon -s  # check
exit

Comparando com um sistema instalado

Comparando este tipo de sistema live persistente a um sistema instalado (em um USB pendrive em ambos os casos),

Vantagem:

  • mais portátil (que um sistema instalado).

Desvantagens:

  • menos estável (que um sistema instalado).

  • menos seguro (a casa criptografada é menos segura que o disco criptografado, o que é possível com um sistema instalado). Mas pode ser seguro o suficiente.

por sudodus 28.07.2017 / 10:43
1

Como já foi mencionado, não há segurança real sem o controle físico da máquina, mas apenas olhando os usuários padrão e limitando o acesso ao disco, esse é o padrão. A menos que você insira uma entrada em / etc / fstab para permitir que usuários regulares montem uma partição, eles não poderão montá-la.

O que você diz me confunde um pouco, mas o acesso sudo pode ser através do grupo sudo ou do grupo "admin" (não existe mais após 11.10, mas ainda no arquivo sudoers). Aparentemente, "admin" não são os grupos de sistemas listados em /etc/adduser.conf). Já que a entrada "ubuntu" está no arquivo /etc/sudoers.d/casper, isso dá ao ubuntu a capacidade sudo.

Eu inicializei uma mídia USB ak (persistente) mkusb, criei um usuário e esse usuário não pôde montar meu disco rígido, nem tinha qualquer recurso sudo.

Portanto, o problema é que o usuário padrão "ubuntu" não tem uma senha e tem a capacidade sudo (diretamente do /etc/sudoers.d/casper) - disponibilizando o recurso sudo para qualquer pessoa, porque ele pode mudar para o usuário do ubuntu. Sendo esta uma mídia ao vivo, algumas coisas não funcionarão como em uma instalação completa, mas desde que você tenha outro usuário sudo, tente na ordem:

  1. Remova o arquivo /etc/sudoers.d/casper. Isso remove o Ubuntu do acesso sudo.

  2. Coloque uma senha no usuário do ubuntu. Pode ser suficiente por si só, mas há um grande "NOPASSWORD" preso no arquivo /etc/sudoers.d/casper que também pode precisar ser alterado.

  3. Remova o usuário do ubuntu completamente.

por ubfan1 27.07.2017 / 05:25
A Atualização do Criador do Windows 10 removeu todos os sinais do GRUB O conteúdo de Grep após a segunda instância, exclui as duas últimas palavras / colunas