Linux
保護(加密)系統免受 root 訪問
我計劃為幾個使用者提供一個 Linux 設備。這些使用者精通技術,可以輕鬆地在標準 linux 系統上重置 root 密碼。
如何創建一個執行中的 Linux 系統,一旦受到保護,即使是 root 使用者也無法進入文件系統?(我查看了 LUKS 之類的磁碟加密,但在所有情況下,root 使用者都可以訪問自動掛載的分區)。
我該如何解決這個問題?像這樣的堆棧交換問題假設攻擊者沒有 root 訪問權限,但通過啟動到單使用者/恢復模式來重置 root 密碼似乎很簡單。
我已經閱讀了有關 LUKS 的資訊,但 FDE 需要將密鑰文件滾動到 initramfs 中(如此處所示),但我認為您可以輕鬆展開 initramfs 並提取密鑰。所以我認為這不能解決問題
我找到了答案:用 LUKS 加密整個磁碟,然後將密鑰儲存在系統 TPM 中。這樣,整個磁碟都被加密了,最終使用者無法從 TPM 中提取密鑰……非常安全:
不可以,無法在具有全盤加密 (FDE) 的 PC 上重置 root 密碼。
您添加的答案中連結的教程討論了自動安裝一些非系統驅動器。使用 FDE,以下所有內容都已
/加密,包括/root/keyfile.如果您出於方便的原因將密鑰文件放到系統分區的非加密分區(例如
/boot)上,您的朋友將能夠讀取該文件,所以不要這樣做。讀:
關於您評論中的補充:
“此設備無需使用者干預即可啟動和執行”:
不要讓不受信任的使用者啟動您的電腦。如果使用者可以從您的加密硬碟驅動器啟動,他們要麼知道密碼,要麼擁有用於加密的未加密密鑰文件,然後他們可以對電腦做任何他們想做的事情。
保持電腦啟動,或有一些受信任的使用者不允許啟動。