Как обезопасить свой ноутбук, чтобы взлом через физический доступ был невозможен?

Я испортил свою систему раньше, меня приветствовал черный экран при загрузке в Ubuntu. Когда я запустил свой ноутбук, я выбрал опцию восстановления в меню grub и выбрал запасной вариант на терминале root . Я увидел, что могу использовать команду добавления пользователя, с ее помощью я, вероятно, смогу создать привилегированного пользователя на моей машине.

Разве это не проблема безопасности?

Кто-то мог украсть мой ноутбук и при запуске выбрать восстановление и добавить другого пользователя, тогда я в замешательстве. Включая мои данные.

Если подумать, даже если вы как-то удалите эту запись, можно загрузиться с live-CD, запустить и запустить chroot, а затем добавить другого пользователя с нужными привилегиями, позволяющими ему видеть все мои данные.

Если я установлю BIOS для загрузки только на моем HD, без USB, CD / DVD, запуска по сети и установлю пароль BIOS, это все равно не будет иметь значения, потому что у вас все еще будет это восстановление grub начальная запись.

Я совершенно уверен, что кто-то из Китая, России, не сможет взломать мой Ubuntu Trusty Tahr из сети, потому что это безопасно. Но если у кого-то есть физический доступ к моей - вашей - машине, тогда, вот почему я задаю этот вопрос. Как я могу защитить свою машину, чтобы взлом через физический доступ был невозможен?


Отчет об ошибке:

73
задан 22.09.2015, 21:01

7 ответов

Самый безопасный ноутбук является тем без любых данных по нему. Вы могли настроить свою собственную частную облачную среду и затем не храните ничего важного локально.

Или вынимают жесткий диск и растапливают его с термитом. В то время как это технически отвечает на вопрос, это не могло бы быть самым практичным, так как Вы не сможете использовать свой ноутбук больше. Но ни один не будет те когда-либо туманные хакеры.

Запрет тех опций, двойных - шифруют жесткий диск и требуют, чтобы карта флэш-памяти USB была включена для дешифрования его. Карта флэш-памяти USB содержит один набор ключей расшифровки, и BIOS содержит другой набор - защищенный паролем, конечно. Объединение, которые с автоматическими данными самоликвидируются стандартная программа, если карта флэш-памяти USB не включается во время начальной загрузки/резюме от, приостанавливает. Носите карту флэш-памяти USB на своей личности в любом случае. Эта комбинация также, оказывается, имеет дело с № 538 .

XKCD #538

XKCD
0
ответ дан 17.04.2019, 16:38
  • 1
    Автоматический самоликвидируются, стандартная программа, конечно, будет приятным сюрпризом, как только Ваша карта флэш-памяти USB накапливает немного пыли на контактных площадках. – userfl89 22.09.2015, 22:29

Зашифруйте свой диск. Таким образом, Ваша система и Ваши данные будут безопасны в случае, если Ваш ноутбук украден. Иначе:

  • пароль BIOS не поможет: вор может легко извлечь диск из Вашего компьютера и поместить его на другой ПК для начальной загрузки от него.
  • Ваш пользователь/пароль root не поможет также: вор может легко смонтировать диск, как объяснено выше и доступ все Ваши данные.

я рекомендовал бы Вам иметь раздел LUKS, в котором Вы могли настроить LVM. Вы могли оставить свой раздел начальной загрузки незашифрованным так, чтобы Вы только ввели свой пароль однажды. Это означает, что Ваша система могла быть более легко поставлена под угрозу, если вмешались (украденный и отданный Вам без Вас даже замечающий), но это - очень редкий случай и, если Вы не думаете, что сопровождаетесь NSA, правительством или некоторой мафией, Вы не должны быть взволнованы по поводу этого.

Ваш установщик Ubuntu должен дать Вам опцию установки с LUKS+LVM очень легким и автоматизированным способом. Я не повторно отправляю детали в здесь, поскольку уже существует много документации там в Интернете. :-)

0
ответ дан 17.04.2019, 16:38
  • 1
    Если возможно, мог Вы предоставлять более подробный ответ. Поскольку можно сказать моим вопросом I' m не любитель безопасности. – Steve Amerige 21.09.2015, 20:56
  • 2
    upvoted для пунктов маркированного списка, но примечание, что полное шифрование диска не является единственным путем, и при этом не необходимо при ограничении чувствительных файлов /home/yourName - как Вы должны! - тогда складывают эту папку с драйвером шифрования уровня файла (такой как один, я упомянул в OP и won' t спам снова), очень жизнеспособная альтернатива. I' m не взволнованный по поводу людей, видящих весь скучный материал в /usr, и т.д. – jgrump2012 24.09.2015, 12:27
  • 3
    @underscore_d: Я действительно волнуюсь по поводу другого материала вне /home (включая персональные и профессиональные данные в других разделах), таким образом, it' s легче для меня для шифрования всего но я предполагаю, что у каждого пользователя есть их собственные потребности:-). Однако использование ecryptfs не является лучшим мудрым производительностью решением. Вы можете находить некоторые сравнительные тесты здесь . Обязательно прочитайте страницы 2-5 в статье для фактических результатов (страница 1 является просто введением). – Steve Amerige 24.09.2015, 20:24
  • 4
    Очень верный, спасибо за ссылку/сравнительные тесты. I' ve не поражают любые барьеры производительности все же, но возможно позже я буду. Кроме того, я понял I' ll, вероятно, должны начать думать о шифровании материала как /var/log, /var/www (источник), & /tmp, поэтому возможно, полное шифрование диска начнет казаться более разумным! – Steve Amerige 24.09.2015, 22:41
  • 5
    @underscore_d: да, и затем Вы начинаете думать [приблизительно 110] и другие каталоги верхнего уровня... В конце полное шифрование диска является простым и быстрым решением, которое позволит Вам спать как ребенок каждую ночь. ^^ – Steve Amerige 24.09.2015, 22:52

Существует несколько аппаратных решений, которые стоит отметить.

Во-первых некоторые ноутбуки, такие как некоторые бизнес-ноутбуки Lenovo идут с переключателем обнаружения вмешательства, который обнаруживает, когда случай открыт. На Lenovo эта опция должна быть активирована в BIOS, и пароль администратора должен быть установлен. Если трамбовка будет обнаружена, то ноутбук будет (я верить) сразу закрытие, на запуске это затем отобразит предупреждение и потребует, чтобы пароль администратора и надлежащий сетевой адаптер продолжились. Некоторые детекторы трамбовки также выделят звуковой аварийный сигнал и могут быть настроены для отправки электронного письма.

Обнаружение вмешательства действительно не предотвращает вмешательство (но оно может мешать красть данные из RAM - и обнаружение вмешательства может "облицевать устройство кирпичом", если оно обнаруживает что-то действительно изворотливое как попытка удалить батарею CMOS). Основное преимущество состоит в том, что кто-то не может тайно вмешаться в аппаратные средства без Вас знание - если Вы настроили сильную безопасность программного обеспечения, такую как полное шифрование диска затем, тайная подделка в аппаратные средства является определенно одним из остающихся векторов атаки.

Другая физическая безопасность - то, что некоторые ноутбуки могут быть заблокированы к прикреплению. Если прикрепление надежно смонтировано к таблице (через винты, которые будут находиться под ноутбуком), и ноутбук сохранил заблокированным к прикреплению если не используемый, то это обеспечивает дополнительный слой физической защиты. Конечно, эта привычка останавливает решительного вора, но она определенно мешает красть ноутбук из Вашего дома или бизнеса, и, в то время как заблокировано это все еще совершенно применимо (и можно включить периферийные устройства, Ethernet и так далее к прикреплению).

, Конечно, эти геоэкологические характеристики не полезны для обеспечения ноутбука, который не имеет их. Но если Вы - безопасность, сознательная, это может быть стоящее рассмотрение их при покупке ноутбука.

0
ответ дан 17.04.2019, 16:38

Дополнительно к шифрованию Вашего диска (Вы не обойдете это): - SELinux и TRESOR. Оба укрепляют ядро Linux и пытаются мешать взломщикам читать вещи из памяти.

, В то время как Вы в нем: Мы теперь вводим территорию не только страх перед злыми случайными парнями, желающими Вашу информацию о дебетовой карте (они не делают этого), но достаточно часто спецслужб. В этом случае Вы хотите сделать больше:

  • Попытка произвести чистку всего закрытый исходный код (также встроенное микропрограммное обеспечение) от ПК. Это включает UEFI/BIOS!
  • Использование tianocore/coreboot как новое Использование UEFI/BIOS
  • SecureBoot с Вашими собственными ключами.

существуют много из других вещей, которые можно сделать, но они должны дать разумную сумму вещей, с которыми они должны щекотать.

И не забывают о: xkcd ;-)

0
ответ дан 17.04.2019, 16:38
  • 1
    Эти предложения не полезны. Ни SELinux, ни TRESOR не останавливают кого-то с физическим доступом. They' ре, не разработанное для этой модели угрозы. Они обеспечат ложное чувство безопасности. P.S. Чистка закрытого исходного кода абсолютно не связана с обеспечением безопасности против кого-то с физическим доступом. – Artem Bilan 22.09.2015, 07:39
  • 2
    @D.W. " TRESOR (рекурсивный акроним для " Шифрование Выполнений TRESOR Надежно Вне RAM") патч ядра Linux, который обеспечивает основанное шифрование только для ЦП для защиты от "холодной" начальной загрузки attacks" - таким образом, TRESOR определенно помогает в таких сценариях. Но that' s просто точка стороны. Я записал ' Additionally' как те вещи won' t действительно делают что-либо, если Вы не шифруете свой диск (в сценарии физического доступа). Однако при увеличении физической безопасности, Вы не должны забывать, что взломщик все еще может просто загрузить и сделать цифровое нападение, также (т.е. ошибки использования). – Artem Bilan 22.09.2015, 09:12
  • 3
    @D.W. It' s довольно поганый, если Ваш ПК приятно шифруется, но подвержен расширению полномочий. That' s, почему - если Вы собираетесь защитить систему с физической стороны - нужно также сделать некоторую укрепляющуюся сторону программного обеспечения. Я явно заявил, что они укрепили Ядро Linux, и они должны быть сделаны дополнительно . То же самое идет для программного обеспечения с закрытым исходным кодом. Ваш диск мог бы быть приятно зашифрован, но если there' s закулисный клавиатурный перехватчик в UEFI это won' t помогают Вам против спецслужб. – pojo-guy 22.09.2015, 09:14
  • 4
    Если Вы используете полное шифрование диска и don' t уезжают, Ваш компьютер, выполняющий необслуживаемые нападения расширения полномочий, не важны, как взломщик won' t знают пароль дешифрования. (Надлежащее использование полного шифрования диска требует, чтобы Вы к закрытию / были в спящем режиме, когда необслуживаемый.), Если Вы используете полное шифрование диска и , делают , оставляют Ваш компьютер необслуживаемым, тогда полное шифрование диска может быть обойдено любым количеством методов - например, присоединив аппаратный ключ USB - даже при использовании TRESOR, SELinux, и т.д. Снова, те - not' t разработанный для этой модели угрозы. Этот ответ doesn' t, кажется, отражают тщательный анализ безопасности. – Artem Bilan 22.09.2015, 09:27
  • 5
    С формулировкой ласки " попробуйте to" что-либо квалифицирует - rot13, шифрование может попытаться гарантировать, что использование не может принять систему. Это won' t успешно выполняются стоящий штопки, но я могу описать ее как попытку. Моя точка - то, что обороноспособность, которую Вы выбираете, не является эффективной при остановке этого класса нападений. SELinux/TRESOR don' t останавливают "холодную" начальную загрузку. Для анализа безопасности необходимо запустить с модели угрозы и проанализировать обороноспособность против той определенной модели угрозы. Безопасность не является процессом разбрызгивания в бесконечном списке дополнительных ограничений, которые звучат хорошими. Существует некоторая наука к нему. – pojo-guy 22.09.2015, 12:58

Поскольку Вы изменили вопрос немного, вот мой ответ на измененную часть:

, Как я могу защитить свою машину так, чтобы взламывание через физический доступ не было возможно?

Ответ: Вы не можете

существует много передового оборудования, и программным системам нравится трамбовка обнаружение , шифрование и т.д., но все это прибывает в это:

можно защитить данные, но Вы не можете защитить свои аппаратные средства, после того как у кого-то был доступ к нему. И если Вы продолжаете использовать какие-либо аппаратные средства после того, как у кого-то еще был доступ, Вы подвергаете опасности свои данные!

Использование безопасный ноутбук с обнаружением вмешательства, которое очищает RAM, когда кто-то пытается открыть его, используйте полное шифрование диска, сохраните резервные копии Ваших данных, зашифрованных в различных местоположениях. Затем сделайте его максимально трудно для получения физического доступа к аппаратным средствам. Но если Вы полагаете, что у кого-то был доступ к Вашим аппаратным средствам, вытрите его и выбросьте его.

следующий вопрос необходимо спросить : Как я могу получить новые аппаратные средства, в которые не вмешались.

0
ответ дан 17.04.2019, 16:38

Используйте пароль ATA для Вашего жесткого диска/SSD

, Это предотвратит использование диска без пароль . Это означает, что Вы не можете загрузиться без пароля, потому что Вы не можете получить доступ MBR или ESP без пароля. И если диск используется в другом manchine, пароль все еще требуется.

Так, можно использовать так называемое пользователь пароль ATA для жесткого диска/SSD. Это обычно устанавливается в BIOS (но это не пароль BIOS).

Для дополнительной безопасности, можно установить основной пароль ATA на диске также. Отключить использование пароля производителя.

можно сделать это на cli с hdparm также.

Дополнительную заботу нужно соблюдать, потому что можно освободить все данные при выпуске пароля.

http://www.admin-magazine.com/Archive/2014/19/Using-the-ATA-security-features-of-modern-hard-disks-and-SSDs

Примечание: существуют также слабые места здесь, поскольку существует программное обеспечение, которое утверждает, что восстановило пароль ATA или даже утверждало, что удалило его. Таким образом, это не 100%-й сейф также.

Примечание: пароль ATA не обязательно идет с FED (Полное шифрование диска)

0
ответ дан 17.04.2019, 16:38

Мое предположение - то, что только полное шифрование диска с помощью сильного алгоритма и, самый важный, хороший пароль является единственной вещью, которая может защитить локально хранившие данные. Это дает Вам, вероятно, безопасность на 99,99%. См. одно из многих руководств по тому, как сделать это.

<час>

, Кроме того, чем который, это НЕ возможно для обеспечения машины от опытного хакера с физическим доступом.

  • пароли Пользователя/учетной записи:
    легко создать нового администраторского пользователя, если Вы загружаетесь в режим восстановления, как Вы описали себя, потому что Вы получаете корневую оболочку, не попросившись паролей у этого пути.
    , Который мог бы быть похожим на случайную проблему безопасности, но предназначается для (кто думал бы это?) случаи восстановления, где Вы, например, потерянный Ваш пароль администратора или испорченный эти sudo команда или другой жизненный материал.

  • пароль root:
    Ubuntu не установила пароля пользователя root по умолчанию. Однако Вы можете установить один и попроситесь его, если Вы загружаетесь в режиме восстановления. Это кажется довольно безопасным, но не является все еще никаким в конечном счете безопасным решением. Можно все еще добавить параметр ядра single init=/bin/bash через GRUB прежде, чем загрузить Ubuntu, которая запускает его в однопользовательском режиме - который является на самом деле корневой оболочкой без пароля также.

  • Обеспечение меню GRUB с паролем:
    можно защитить записи меню GRUB, чтобы быть только доступными после аутентификации, т.е. можно отрицать загружать режим восстановления без пароля. Это также препятствует управлять параметрами ядра. Для получения дополнительной информации относитесь, посмотрите сайт Grub2/Passwords на help.ubuntu.com . Это может только быть обойдено, если Вы загружаетесь из внешнего носителя или подключаете жесткий диск к другой машине непосредственно.

  • Отключают начальную загрузку от внешних медиа в BIOS:
    можно установить порядок загрузки и обычно исключать устройства из начальной загрузки во многих текущих версиях BIOS/UEFI. Те настройки не защищаются, хотя, поскольку все могут ввести установочное меню. Необходимо установить пароль здесь также, но...

  • пароли BIOS:
    можно обычно обходить пароли BIOS также. Существует несколько методов:

    • Сброс память CMOS (где настройки BIOS хранятся) путем открытия корпуса компьютера и физически удаления батареи CMOS или временно установки "Ясного CMOS" перемычка.
    • настройки Reset BIOS с комбинацией служебной клавиши. Большинство производителей материнских плат описывает сочетания клавиш в своих руководствах по услугам для сброса испорченных настроек BIOS к значениям по умолчанию, включая пароль. Пример состоял бы в том, чтобы содержать ScreenUp при включении питания, которое, если я помню право, разблокировало материнскую плату клена с AMI BIOS однажды для меня после того, как я испортил свои настройки разгона.
    • Наконец, что не менее важно, существует ряд паролей BIOS по умолчанию, которые, кажется, всегда работают, независимые от реального пароля набора. Я не протестировал его, но этот сайт предложения список их, категоризированный производителем.
      Благодаря Rinzwind для этой информации и ссылки!
  • Блокировка корпус компьютера / отклоняют физический доступ к материнской плате и жесткому диску:
    , Даже если все остальное перестало работать, вор данных может все еще открыть Ваш ноутбук/компьютер, вынуть жесткий диск и подключить его к его собственному компьютеру. Монтирование его и доступ ко всем незашифрованным файлам являются куском пирога от вслед за тем. Необходимо поместить его в надежно заблокированный случай, где можно быть уверены, что никто не может открыть компьютер. Это однако невозможно для ноутбуков и трудно для рабочих столов. Возможно, можно ли думать о владении боевиком как самоликвидирующееся устройство, которое аварийно завершает некоторые взрывчатые вещества внутри, если кто-то пытается открыть его?;-) Но удостоверьтесь, что Вы никогда не должны будете открывать его сами для обслуживания затем!

  • Полное шифрование диска:
    я знаю, что советовал этому методу как безопасному, но это также не 100%-й сейф при потере ноутбука, в то время как это идет. Существует так называемая "атака с холодной загрузкой", которая позволяет взломщику читать ключи шифрования из Вашей RAM после сброса беговой дорожки. Это разгружает систему, но не сбрасывает содержание RAM времени без питания, достаточно коротко.
    Благодаря Косу для его комментария об этом нападении!
    я также собираюсь заключить его второй комментарий в кавычки здесь:

    Это - старое видео, но объясняет понятие хорошо: , "Чтобы Мы Не Помним: Атаки с холодной загрузкой на Ключах шифрования" на YouTube; если Вам установили пароль BIOS, взломщик может все еще удалить батарею CMOS, в то время как ноутбук находится все еще на включить пользовательскому обработанному диску загрузиться, не теряя решающей секунды; это более страшно в наше время из-за SSD, поскольку пользовательский обработанный SSD, вероятно, будет способен для дампа даже 8 ГБ меньше чем через 1 минуту, считая скорость записи ~150MB/s

    Связанным, но все еще оставшимся без ответа вопросом о том, как предотвратить Атаки с холодной загрузкой: , Как я позволяю Ubuntu (использующий полное шифрование диска) назвать LUKSsupend прежде, чем спать/приостанавливать к RAM?

<час>

Для завершения: В настоящее время ничто действительно не защищает Ваш ноутбук от привыкания кем-то с физическим доступом и злонамеренным намерением. Можно только полностью зашифровать все данные, если Вы достаточно параноики, чтобы рискнуть терять все путем упущения пароля или катастрофического отказа. Таким образом, шифрование делает резервные копии еще более важными, чем они, уже. Однако они должны затем быть зашифрованы также и расположены в очень безопасном месте.
Или просто не отдают Ваш ноутбук и надеются, что Вы никогда не будете терять его. ;-)

, Если Вы заботитесь меньше о Ваших данных, но больше о Ваших аппаратных средствах, Вы могли бы хотеть купить и установить отправителя GPS в Ваш случай, хотя, но это только для настоящих параноидальных людей или федеральных агентов.

0
ответ дан 17.04.2019, 16:38
  • 1
    И все еще полное шифрование диска wouldn' t сохраняют Вас от атак с холодной загрузкой, если Ваш ноутбук украден, в то время как идет! – granadaCoder 21.09.2015, 21:50
  • 2
    Также после того, как Ваш ноутбук был вне Вашего управления сколько угодно, это can' t, как ожидать, больше будет безопасен. Это могло теперь зарегистрировать Ваш пароль перед начальной загрузкой, например. – userfl89 21.09.2015, 22:00
  • 3
    Шифрование данных shouldn' t увеличивают риск потерять его, потому что у Вас действительно есть резервные копии, правильно? Данные, только хранившие однажды, не намного лучше, чем данные, не существующие. SSD особенно имеют тенденцию внезапно перестать работать без шанса вытащить что-либо из них. – granadaCoder 21.09.2015, 22:15
  • 4
    Это - старое видео, но объясняет понятие хорошо: youtube.com/watch?v=JDaicPIgn9U ; если Вам установили пароль BIOS, взломщик может все еще удалить батарею CMOS, в то время как ноутбук находится все еще на включить пользовательскому обработанному диску загрузиться, не теряя решающей секунды; это более страшно в наше время из-за SSD, поскольку пользовательский обработанный SSD, вероятно, будет способен для дампа даже 8 ГБ меньше чем через 1 минуту, рассматривая скорость записи ~150MB/s – granadaCoder 21.09.2015, 22:22
  • 5
    @ByteCommander, но Ваш SSD может перестать работать все равно, и все Ваши данные потеряны. Несомненно, если Вы склонны забывать пароли (хорошо, запишите его и поместите его в свой сейф тогда), вероятность потери всех Ваших данных могла бы увеличиться с шифрованием, но это не похоже на Ваши данные, супер безопасно, если Вы не смеете шифровать его. Вы don' t " рискните всем путем упущения пароля или crash" Вы делаете это, не имея резервные копии. – userfl89 21.09.2015, 22:28

Теги

Похожие вопросы