防止使用来自实时 Linux iso 的“实时救援”攻击 grub.conf

防止使用来自实时 Linux iso 的“实时救援”攻击 grub.conf

碰巧我在grub.conf中设置了grub密码。但是,使用实时 Linux iso,我能够从 grub.conf 中删除密码。请阅读此链接中提到的相同步骤:http://gofedora.com/how-to-recover-crack-root-password-grub-locked/

我没有编辑 menu.lst,而是编辑了 grub.conf。所有步骤均相同

我的问题是:有没有办法防止这种黑客攻击。当我尝试救援时,系统显示一条消息,如果无法救援(即如果在/mnt/sysimage目录下安装硬盘失败),我是否要继续/跳过/中止。

因此,我认为必须有一种具体的方法来通过对 mounts/boot 等进行一些操作来防止此类黑客攻击,这将防止安装到 /mnt/sysimage 中。

任何帮助都是有价值的

编辑:

PS:请重新考虑此环境,因为虚拟化环境中 VSphere 中的实际 VM 是 Linux VM,我需要从 BIOS 禁用/删除 CD/DVD-Rom 和网络启动。完成所有这些操作后,我想将 VM 重新打包为 .ovf,并检查新的 ovf 是否有 BIOS 限制。

答案1

除了 grub 密码之外,您还需要将 BIOS 配置为不允许从包含主操作系统的设备以外的介质启动。您需要设置 BIOS 密码,以便无法更改此配置。

除非您的驱动器经过加密,否则对计算机的物理访问就是对您的数据的访问。即使有 BIOS 密码,也可以通过打开机箱并取出电池来重置 CMOS。

答案2

您可以将所有您想要的限制放在磁盘上的引导加载程序上,如果有人在不使用该引导加载程序的情况下启动,这将无济于事。

您可以通过将 BIOS 配置为拒绝从任何其他媒体启动(尤其是从可移动磁盘或通过网络启动)来加强控制。请务必输入 BIOS 密码,以便攻击者无法更改设置。

如果攻击者可以访问该磁盘并将其插入另一台计算机,则您对引导加载程序或 BIOS 所做的任何操作都无法阻止他读取磁盘的内容(包括执行磁盘上的操作系统)。在这种情况下,您唯一的办法是安排读取磁盘对攻击者来说没有用处:使用以下命令加密磁盘dm 密码,并且不要告诉攻击者密码(您必须在启动时输入该密码,以便您的计算机知道是您本人)。

相关内容