我正在尝试理解这种情况...今天我遇到了 de sudoers 文件的问题,因为我修改了此修改并遇到了问题。因此,解决问题的唯一方法是使用恢复模式下的 root 修改文件。
问题就从这里开始了......根本没有要求输入密码...所以,只需选择 2 个选项(Grub 中的恢复模式和恢复模式中的 Root),我就可以以 root 身份访问我的整个系统及其所有文件。
这非常危险!任何人都可以轻松删除重要文件,甚至破坏整个系统,而无需任何密码/密码/……
Canonical 对此有任何官方沟通吗?这只是一个被遗忘的老功能,还是只是因为不想改变而没人愿意改变的东西?
答案1
这不是一个错误,而是一个功能。任何可以物理访问机器的人都可以获取和/或修改您的数据,除非您的分区已加密。
考虑这种情况:您可以启动 Live CD 并且能够毫无问题地读取和修改数据。
另一个:有人可以打开机箱,取出磁盘并将其插入另一台机器(USB 底座、eSATA 等)。然后,再次可以轻松读取和修改数据。
如果您想要禁用恢复条目的创建,请编辑/etc/default/grub,GRUB_DISABLE_RECOVERY="true"通过删除前导#字符取消注释该行并运行sudo update-grub。但是,这并不会使您无法启动到恢复模式,因为您仍然可以通过按下E条目并添加single到内核行来编辑启动选项。
防止此类攻击的唯一方法是使用 LUKS 加密整个磁盘。我强烈建议这样做,尤其是对于笔记本电脑等移动设备。请参阅如何真正保护硬盘的安全?
答案2
考虑到这是一个老话题,能够进入恢复模式和 root 权限可以多次拯救我的桌面,避免崩溃、损坏的驱动程序安装(gpu)或任何其他导致我的桌面环境根本无法加载的问题。
我了解你的担忧,但你想太多了。
就像这个主题中的其他人所说的那样,任何具有 PC 物理访问权限的人都可以通过使用安装了 ubuntu 的 USB 对其进行任何操作,并且他们可以访问未加密的所有内容。
想象一下其他情况,例如,一家公司不得不解雇一名系统管理员,如果他在没有通知管理层的情况下更改了密码,而您的新系统管理员突然无法访问整个系统,因为密码已被更改,而更改密码的人没有响应。(这是假设的,但非常有可能,是的,确实会发生!)
可能有一些方法可以做到这一点,虽然我不知道,但考虑到所有因素,这非常没有必要。
重点是,如果您想保存文件,请对其进行加密,并将对 PC 的物理访问权限限制为只有必要的管理员才能访问。
大多数 Linux 的普通“新手”可能甚至不知道如何使用它,如果他们知道,您可能会发现某些东西不再起作用或其他什么,并且应该对该人采取适当的措施。
我希望这个答案能帮助到其他来这里的人。