如何通过grub2安全进入任何Linux机器？

问题描述

获得对您的计算机的物理访问权限的人如何以任何方式安全地获取这些步骤的能力？

1. 当grub2菜单打开时，按 e 编辑Linux启动选项

2. 更改：

   "linux   /vmlinuz-2.6.35-23-generic root=UUID=e7f1e48d-0015-485f-be7d-836217a31312 ro   quiet splash" 
   

   至：

   "linux   /vmlinuz-2.6.35-23-generic root=UUID=e7f1e48d-0015-485f-be7d-836217a31312 ro init=/bin/bash"
   

3. 现在你有root访问权限：

   mount -o remount,rw /
   passwd user
   mount -o remount,ro / 
   sync
   

4. 重新启动计算机，你赢了。

我的问题是，如何通过grub2安全进入任何Linux机器？我不明白Linux的这个事实，谢谢你的回答。

最佳解决方法

How is the ability of a person who gained physical access to your computer to get root [using Grub/Bash] in any way secure?

因为如果Linux决定开始这样做，黑客就会利用其他安全漏洞。第一个安全规则是，如果我有物理访问你的系统，它就是游戏结束。我赢了。

另外，想象一下你的X服务器坏了，你再也没有GUI了。您需要启动到恢复控制台来修复问题，但您不能，因为这是不安全的。在这种情况下，你留下了一个完全破碎的系统，但是嘿，至少它是”secure!”

But Kaz, how is this possible? I set a password on my Grub so that you can’t change my init to Bash!

哦，你做到了，是吗？有趣，因为这看起来像你的相册。 GRUB根本没有任何固有的安全因素。它只是一个引导程序，而不是某些安全引导和身份验证链中的一个步骤。事实上，你设置的”password”很容易绕过。

那个，以及什么系统管理员在紧急情况下没有携带启动驱动器？

But how?! You don’t know my password (which is totally not P@ssw0rd btw)

是的，但这并不能阻止我打开你的电脑并拿出你的硬盘。从那里开始，只需几个简单的步骤即可将驱动器安装到我的计算机上，让我可以访问您的所有系统。这也有绕过BIOS密码的好处。那，或者我可以重置你的CMOS。两者任一。

So… how do I not let you get access to my data?

简单。让你的电脑远离我。如果我可以触摸它，访问键盘，插入我自己的闪存驱动器，或拆开它，我可以赢。

So, can I just like put my computer in a datacenter or something? Those are pretty secure, right?

是的，他们是。但是，你忘记了人类也是可以破解的，并且给予足够的时间和准备，我可能会进入该数据中心并从你的计算机中吸取所有这些甜蜜，甜蜜的数据。但我离题了。我们在这里处理真正的解决方案。

Okay, so you called my bluff. I can’t put it in a datacenter. Can I just encrypt my home folder or something?

你当然可以！这是你的电脑！它会帮助阻止我吗？没有丝毫。我可以用我自己的恶意程序替换一些重要的东西，比如/usr/bin/firefox。下次打开Firefox时，所有秘密数据都会被秘密地传输到某个秘密服务器。而你甚至都不知道。或者，如果我经常访问您的计算机，我可以将您的主文件夹设置为复制到/usr/share/nonsecrets/home/或任何类似的(non-encrypted)位置。

Okay, what about full disk encryption?

那……真的很不​​错。但是，它还不完美！我总是可以使用我可靠的压缩空气来执行Cold Boot Attack。或者，我可以将硬件键盘记录器插入您的计算机。一个明显比另一个容易，但方式并不重要。

在绝大多数情况下，这是一个很好的停留地点。也许将它与TPM配对(下面讨论)，你就是金色的。除非你激怒了一个three-letter代理商或一个非常积极的黑客，否则没有人会经历这个阶段所需的努力。

当然，我仍然可以通过为您提供PPA或类似软件来安装一些恶意软件/后门程序，但这会进入用户信任非常模糊的区域。

So… how are iPhones so secure? Even with physical access, there’s not much you can do.

嗯，是的，不。我的意思是，如果我有足够的动力，我可以阅读闪存芯片并获得我需要的一切。但是，iPhone基本上是不同的，因为它们是一个完全锁定的平台。但是，与此同时，你真的牺牲了可用性和从灾难性故障中恢复的能力。 GRUB(非常特别设计时除外)并不意味着是安全系统中的链。事实上，大多数Linux系统都有自己的安全链启动post-boot，所以在GRUB完成它的事情之后。

此外，iPhone还具有加密签名执行功能(也在下面讨论过)，这使得恶意软件很难通过合法路径潜入您的手机。

But what about TPM/SmartCards/[insert crypto tech here]?

那么，现在你将物理安全性与方程式结合起来，它仍然变得更加复杂。但是，这不是一个真正的解决方案，因为TPM相对较弱，并且所有加密都不会发生在on-chip上。如果你的TPM(某种程度上)足够强大，它在芯片本身进行加密(一些非常奇特的硬盘驱动器就有这样的东西)，那么密钥就不会被揭示出来，而cold-boot攻击是不可能的。但是，密钥(或原始数据)可能仍然存在于系统总线中，这意味着它们可能被截获。

即便如此，我的硬件键盘记录程序仍然可以获取您的密码，并且我可以轻松地将一些恶意软件加载到您的计算机上，这是我之前提到的Firefox漏洞。我需要的只是让你离开你的房子/电脑大概一个小时。

现在，如果您随身携带TPM /智能卡/其他任何内容，并且所有加密实际上都在芯片上完成(意味着您的密钥根本没有存储在RAM中)，那么我几乎不可能进入除非你(用户)滑倒并忘记了某些事情。也就是说，除非我找到某种方法从系统总线读取(未加密的)密钥。

But what if I have some form of cryptographic/digital signature enforcement on all of my programs to make sure they’re legit?

正如各种智能手机公司所证明的那样，这是处理安全问题的一种非常好的方法。你现在已经无效了我在你的机器上注入一些代码来做恶事的能力，这是一个加分。实际上，您已经无法远程保留对计算机的持久访问权限，这是一个巨大的优势。

但是，这仍然不是一个完美的方法！数字签名执行不会停止硬件键盘记录器。它还需要完全是bug-free，这意味着我无法找到允许我将自己的证书加载到您机器的证书库中的漏洞。此外，这意味着系统上的每个可执行文件都需要签名。除非您想手动完成并完成所有这些工作，否则很难找到在所有内容上都有数字签名的Apt软件包等。类似地，这阻止了对未签名可执行文件的合法使用，即恢复。如果你破坏重要的东西，并且你没有(签名的)可执行文件来修复它会怎么样？好吧，那就是你的系统。

无论哪种方式，Linux上的effort to do this基本上已被抛弃，不再适用于新内核，因此您需要创建自己的内核。

So, it’s impossible to keep you out of my computer?

实际上，是的，抱歉。如果我有物理访问权和足够的动力，那么总是可以进入系统。没有例外。

但实际上，大多数邪恶的人都不会为了一些 cat 的照片而试图走这么远。通常情况下，只需full-disk加密(甚至只是运行Linux！)就足以阻止大多数脚本小孩获得两秒钟的成名。

长话短说：只是不要让你不信任的人靠近你的电脑。这通常足够好。

次佳解决方法

如果你想要它绑定使用password。从链接：

GRUB 2密码保护说明

Grub 2 can establish password requirements on:

• 所有菜单

• 具体菜单

• 对于特定用户：例如，用户”Jane”可以访问Ubuntu但不能访问Windows恢复模式，只能由超级用户”John”访问。

• 管理员必须通过编辑GRUB 2系统文件手动启用密码保护。

• 应在/etc/grub.d/00_header或其他GRUB 2脚本文件中标识用户和密码。

• 除非需要对所有菜单条目进行全面保护，否则必须标识特定条目：

  • 手动编辑Grub 2 /etc/grub.d/脚本，如10_linux和30_os-prober

  • 通过编辑用户创建的自定义配置文件手动进行。

  • 无论何时执行update-grub，上述任一方法都允许GRUB 2自动将密码要求添加到配置文件(grub.cfg)。

  • 通过编辑/boot/grub/grub.cfg手动。运行update-grub时将删除对此文件的编辑，并且密码保护将丢失。

• 如果启用了任何形式的GRUB 2密码保护，则需要超级用户的名称和密码才能访问GRUB 2命令行和menu-editing模式。

• 用户名和/或密码不必与Ubuntu登录名/密码相同。

• 除非使用GRUB 2的密码加密功能，否则密码将以纯文本形式存储在可读文件中。有关使用此功能的指导，请参阅“密码加密”部分。

默认情况下(！)在这种情况下，可用性胜过安全性。如果您不能相信周围的人，请始终随身携带机器。需要更多安全性的人倾向于加密他们的整个系统，因此需要密码。

第三种解决方法

你的故意黑客从这开始：

1. 当grub2菜单打开时，按’e’编辑linux启动选项

但您可以使用密码保护e选项，如下所述：How to add the GRUB password protection to the OS load process instead of when editing boot options

您可以采取加密grub密码的额外步骤，如链接中所述。事实上，在家中使用Linux /Ubuntu的人口中有3％(疯狂猜测)，系统管理员最好在生产系统上防止e功能。我想如果在工作中使用Ubuntu，那么30％到40％的人也会在家里使用它，也许有10％的人会学习如何在他们的家庭系统上使用e。

感谢您的问题，他们刚刚学到了更多。通过上面的链接，系统管理员在其to-do列表上有另一个任务来保护生产环境。

参考资料

• How is being able to break into any Linux machine through grub2 secure?