我们有一个装有 Linux 的硬盘,不想让其他人通过安装和实时 CD 侵入它。我认为也许可以通过密码保护 grub 来实现。但我们需要运行所有服务和脚本(例如 init.d 文件夹中的脚本)。我们不想加密所有磁盘。可以帮忙吗,拜托?
谢谢!
答案1
如果我理解正确的话,您的机器有内部 HHD,并且您想阻止用户使用 live-cd 进行未经授权的访问,这样正确吗?
如果是这样,你应该调查一下全驱动器加密。我知道您说过不想加密整个驱动器,但我相信加密是唯一的办法。
您不需要加密整个硬盘,而是可以对其进行分区,以便所有安全文件都位于将被加密的单独分区上,而另一个分区则用于存放不会被加密的安全性较低的文件。
据我所知,没有任何方法可以在不使用加密的情况下用密码保护 HDD,从而阻止 Live-CD 上的用户安装该磁盘。
编辑
我不建议这样做,但这是 OP 建议的另一种可能性。
在任何给定的存储设备上,驱动器的前 512 个字节是 MBR 和分区表。这是定义驱动器上所有分区的部分。],如果没有它,系统就不知道什么在哪里,并且认为驱动器未格式化。
一种可能性是,在驱动器卸载后,在关机脚本中使用它dd来创建 MBR 的备份映像,然后0执行该操作。同样,在启动时,在系统安装驱动器之前恢复该 MBR。
备份 MBR 将会存放到哪里以及脚本将会从哪里运行的具体细节需要您自己确定,因为我之前在启动时没有这样做过。
创建 MBR 的备份
dd if=/dev/sda of=/media/somewhere/mbr.bak bs=512 count=1
将 MBR 设为 0
dd if=/dev/null of/dev/sda bs=512 count=1
恢复 MBR
dd if=/dev/somewhere/mbr.bak of=/dev/sda bs=512 count=1
再次强调,执行此操作时要非常小心,并确保在具有可实时启动操作系统的 USB 驱动器上创建 MBR 的备份,以便在出现任何问题时可以恢复它。
需要弄清楚关机脚本和启动脚本的具体位置,因为需要从已安装的驱动器读取 MBR,并且无法安装没有 MBR 的驱动器。