我了解到,我可以通过点击Grub2 菜单中的Ctrl+并在启动脚本中添加正确的行来启动到单用户模式(或任何名称)。这一切都很好 - 当我搞砸某件事时,它拯救了我很多次 :Pesingle
但是,我注意到,当我这样做时,我基本上免费获得了 root 访问权限 - 我永远不必输入密码或以其他方式证明我的身份。这感觉不安全 - 编辑启动脚本的键盘命令是常识,因此任何有权访问我计算机的人都可以将其关闭(如果需要,可以通过电源按钮强制关闭)并再次打开,编辑启动脚本并获得对我计算机的 root 访问权限。
我不要那个。
为了强制单个用户会话输入密码,我需要配置什么?
(这可能不相关,但我已经设置了启动选项,以便直接启动到桌面,跳过登录屏幕。这样没问题,因为我仍然需要输入密码sudo,但我不喜欢轻易地给予任何人 root 访问权限...)
答案1
如果您为用户设置了密码root,则在单用户模式下登录时也需要该密码。
答案2
有一个相当详尽的指南在 UbuntuForums 上为 grub 添加密码。
可能还有其他针对单个用户提示量身定制的选项,但无论你如何处理那里的事情,这其实并不安全。有人只需插入 Live 棒或 CD,他们就会立即获得 root 访问权限和所有数据。或者他们可以拔出磁盘(需要几秒钟)并将其插入另一台计算机。
让我们先疑神疑鬼一下。考虑一下需要多长时间才能做到:
- 把电脑的侧面拿开,
- 从驱动器上拔下电缆,
- 插入 SATA->USB 适配器,将驱动器桥接到笔记本电脑,
- 安装驱动器
- 随意改变
- 拆卸并更换原装电缆和电脑外壳。
通过物理访问,我估计我可以在两分钟内访问你的数据并消失。如果是一台笔记本电脑,我和磁盘之间有 200 个螺丝,也许需要更长时间。如果你随身携带有价值的敏感数据(或将其放在无人看管的桌面上),那应该是一个可怕的想法。
最好的威慑手段是通过 LUKS 之类的工具进行全盘加密:
即使有人尝试了,解码也是一场噩梦(请记住,如果您不进行备份 - 标准数据恢复技术将不是工作)。他们没有时间在现场做任何事情,大多数磁盘的磁盘克隆都需要几个小时,即使他们只是提起磁盘,这也让你有机会到处更改密码、帐户等,而这些可能会因磁盘上的数据而变得不安全。
答案3
只要您不将拇指驱动器插入电源,就可以使用拇指驱动器上的密钥文件对磁盘进行全加密。
锁定 grub 已覆盖这里。我不相信锁定 grub,因为它所需要的只是一个实时的 DVD/CD/Thumbdrive。