概述
我在工作中首选的操作系统是 Ubuntu 12.04 - 64bit - Gnome3。然而,最近休假后,我回到办公桌前发现我的机器被人破坏了(我还被告知花了大半个下午才搞定)。
初始增强功能
我做的第一件事就是删除 root 访问权限,非常简单passwd -u root
。我做的第二件事是创建一个具有“sudo”访问权限的新用户adduser fkchu
。我最后修改了 sudoers 文件,visudo
只授予 fkchu 访问 sudo 的权限(root 甚至没有此访问权限)。
因此,要获得 root 权限,需要:a) 使用一个相当强的密码登录我的普通用户,然后需要su fkchu
使用第二个非常不同的强密码。只有这样,该用户才能使用sudo
或sudo su
。
大问题(希望得到建议)
尽管上班时我的背景已经改变,所有字体都已卸载(部分中文字体和部分法文字体除外),但我发现我的密码也变了。我获得访问权限的唯一方式是通过:
- 从我的安装 USB 驱动器启动。
- 正在执行
sudo su
。 我执行了以下步骤:
$ cd /mnt $ fdisk -l $ mkdir i && mount /dev/sdb1 i
因此,我随后通过访问我的硬盘cd /mnt/i/
并将所有内容恢复原状,例如删除背景图片等。最终我不得不重新安装,因为太多东西被损坏了
结论
我将在下次休假之前创建我的硬盘映像,尽管我不是 100% 确定如何执行此操作,然后稍后恢复 ISO。
如果可能的话,我还将感谢大家对这个问题的进一步帮助,关于如何通过使某人更难以谷歌某些东西然后破坏所有东西来防止进一步的恶作剧。
答案1
如果其他人能够物理访问您的计算机,我可以想到两种选择来阻止访问您的数据。
全盘加密
全盘加密仅适用于替代安装程序当系统询问“引导式”还是“手动”分区时,选择“手动”。
在分区器处:
- 删除将要使用的设备的分区表。这将删除所选设备上的所有内容,因此请确保已备份所有内容。
- 创建 /boot(不超过 256MB)、/、/home 和 swap 分区。Boot 和 home 分区应为 ext4。Root 和 swap 分区应为“用于加密的物理分区”。
- 选择“配置加密卷”,然后选择“创建加密卷”。按空格键选择列为“加密”的卷,然后继续。为每个加密卷输入密码。
- 每个加密卷现在都有可用空间。要配置这些卷,请选择每个加密卷下列出的空间。将加密卷设置为交换空间,另一个应设置为 Ext4,并将挂载点设置为:“/”。选择“完成分区并将更改写入磁盘”。
- 稍后,当询问“加密您的主目录”时,选择“是”。
更多信息请参阅:http://dailyanarchist.com/2012/02/20/full-disk-encryption-for-ubuntu-and-fedora/
设置硬盘密码
通常,笔记本电脑和公司台式电脑能够设置硬盘密码在 BIOS 上。如果您在 POST 时不输入密码,则磁盘不会暴露给操作系统。从维基百科:
磁盘锁是磁盘中内置的安全功能。它是 ATA 规范的一部分,因此不特定于任何品牌或设备。可以通过向驱动器发送特殊 ATA 命令来启用和禁用磁盘锁。如果磁盘被锁定,它将拒绝所有访问,直到解锁为止。
磁盘始终有两个密码:一个用户密码和一个主密码。
磁盘可以锁定在两种模式下:高安全模式或最高安全模式。在高安全模式下,可以使用用户密码或主密码解锁磁盘。尝试次数限制通常设置为 5 次,超过此限制后,必须关闭电源或硬重置磁盘,然后才能再次尝试解锁。
在最高安全模式下,只能使用用户密码解锁磁盘。如果无法使用用户密码,则使裸机硬件恢复到可用状态的唯一方法是发出 SECURITY ERASE PREPARE 命令,然后立即发出 SECURITY ERASE UNIT。在最高安全模式下,SECURITY ERASE UNIT 命令需要主密码,并将完全擦除磁盘上的所有数据。操作很慢,可能需要半小时或更长时间,具体取决于磁盘的大小。
硬盘映像
克隆兹拉是一款出色的硬盘和分区映像工具,但我不知道它是否可以从加密磁盘生成映像,但你当然可以使用它克隆整个磁盘日. 密码锁定的高清不会成为问题,因为您可以在生成图像之前将其解锁。