我想确保在不知道密码的情况下,任何人都无法删除/编辑 2FA 凭据等
我可以安全地使用密码保护它们吗?或者还有其他方法可以实现这样的结果吗?
我准确地解释了我的看法。包含文件 /etc/pam.d/common-auth 的文件夹 - 提供 Linux 应该需要 2FA 代码的信息。在系统上的每个操作都需要我编写代码 - root 登录或 sudo 命令。
问题是 - 在救援模式下,这个没有问题的条目可以被删除,从而禁用 2FA - 也就是说,如果我可以在没有 2FA 代码的情况下禁用它,那么原则上 2FA 就没有意义。
有一个与我类似的主题(但与 U2F 相关)。但作者担心,如果他在 U2F 冲突中失败,他将无法访问该系统。为什么没有答案写出救援模式这样简单的解决方法?有点奇怪https://askubuntu.com/questions/1167691/passwordless-login-with-yubikey-5-nfc/但是
那里确实有很多答案,每个人都警告他可能会失去对系统的访问权限。那我再问一下。是否可以设置 2FA,使其无法以任何方式撤消(例如在救援模式下编辑通用身份验证文件?)
答案1
Linux 中的任何文件或目录都可以受密码保护*。然而,进程需要访问文件,而身份验证服务使用的基本进程无法提供密码。
在任何现代系统中,密码都是加密的。任何加密都可以被破解,但这是一个非常漫长的过程,而且成功与否很大程度上取决于密码本身的复杂程度。例如,在破解 Linux root 密码的情况下,通常必须首先获得对至少需要提供 sudoer 密码的文件和目录的访问权限。
Linux 中的 Rootkit 非常少。任何安全链中最薄弱的环节始终是人为因素;因此 root 密码应该足够复杂并受到良好的保护。必须限制对系统的物理访问,以防止通过启动进入救援模式来绕过安全措施。
安全永远是一场猫捉老鼠的游戏,安全永远是落后一步的。必须先出现新的威胁,然后才能强化系统以抵御新的威胁。最终,不存在绝对牢不可破的安全,只有打破它的收益足以值得付出努力的水平。这通常指政府、军队或主要的全球公司或机构。
*资料来源:
- 如何在 Linux 中使用密码保护文件夹(这是 FOSS,2023 年 1 月 10 日)
- 保护您的文件和文件夹(Linux提示 2022)
- 如何在 Linux 中使用密码保护文件(吉列尔莫·加伦,2020 年 9 月 5 日)
- 如何使用 GnuPG 在 Linux 中对文件进行密码保护?(适用于设备的 Linux,2021 年 4 月 25 日)
- 和别的