位于 /etc/pam.d/ 中的 PAM 配置文件容易受到物理攻击。也就是说,它们可以从外部系统(可启动 USB 或将驱动器转移到另一台机器)进行修改
除了加密整个驱动器之外,还有其他方法来保护这些 PAM 配置文件吗?
答案1
物理访问是根访问权限。如果您能够更改启动过程的任何部分,您就能够危害系统。
这总是取决于你的攻击场景。如果您认为攻击者可以更改 PAM 配置,则全盘加密 (FDE) 可以保护您免受攻击。如果您认为攻击者用其他工具替换您的 FDE 密码提示来窃取您的密码,那么,锁定的可信启动链就可以了(请参阅 LinuxBoot、HEADS),但此时您可能正在处理 TPM。 HEADS 做到了这一点真的安全,但据我所知,它还没有完全准备好投入生产。
然而,这些都是软件缓解措施。 A硬件键盘记录器放置在键盘和主板之间可以再次将您的输入发送给对手。如果他们至少知道一些对于您的系统(例如分发版或 WM),它们还可以在输入暂停一段时间后重播键盘宏来发送数据。或者他们只是事先复制您的整个硬盘驱动器,然后使用记录的输入来解密您的副本。除非使用 TPM 或其他飞地,否则几乎不可能阻止此类攻击。
因此,让我再次重复第一句话:物理访问是root访问。如果您想减缓潜在攻击者的速度,那么至少要保护 GRUB 和您的引导设置(例如,任何 UEFI 和/或引导顺序更改都需要密码),始终从特定硬盘驱动器引导,并使用 FDE。但请记住,所有这些操作都会使故障排除和支持变得更加困难,就像加固门和额外安全的锁使锁匠在您丢失钥匙时变得更加困难一样。
但请记住,这取决于你的攻击场景。如果我只是想造成一些损害,我会在你的笔记本上滴一桶水。
回到你的问题:任何保护配置文件的方法都会再次存储在某个地方。当有人修改文件时,他们也可以继续更改该元文件。一直到下都是文件。