Dizüstü bilgisayarımı nasıl güvenli hale getirebilirim, böylece fiziksel erişimden kesmek mümkün olmaz mı?

69

Sistemimi daha önce berbat ettim, Ubuntu'ya başladığımda siyah bir ekranla karşılaştım. Dizüstü bilgisayarımı başlattığımda, grup menüsünden kurtarma seçeneğini seçtim ve root terminalinde geri dönüşü seçtim. Onunla birlikte kullanıcı ekle komutunu kullanabildiğimi gördüm, muhtemelen makinemde imtiyazlı bir kullanıcı oluşturmak için kullanabiliyordum.

Bu bir güvenlik sorunu değil mi?

Birisi dizüstü bilgisayarımı çaldı ve başlangıçta kurtarma işlemini seçti ve başka bir kullanıcı ekledi, o zaman ben de uydurdum. Verilerim dahil.

Bunu düşünmeye gelseniz, bu girişi bir şekilde kaldırsanız bile, bir canlı CD'den önyükleme yapabilir, chroot yukarı vurabilir ve daha sonra başka bir kullanıcı ekleyebilir ve tümünü görmesini sağlayan doğru ayrıcalıklara sahip olabilirsiniz. benim verim.

Eğer BIOS'umu sadece HD'imde önyükleme yapacak şekilde ayarlamam, USB, CD / DVD, Ağ başlatma, ve bir BIOS şifresi belirleyemem, yine de sorun olmayacaktır, çünkü yine de bu grup kurtarma başlangıç ​​girişine sahip olacaksınız.

Çin'den birisinin, Rusya'nın Ubuntu Trusty Tahr'imi ağdan kesemeyeceğinden eminim, çünkü böyle güvende. Ama eğer makinen için fiziksel erişim varsa, o zaman, bu yüzden bu soruyu soruyorum. Makinemi, fiziksel erişimi kesmek mümkün olmayacak şekilde nasıl güvenli hale getirebilirim?

Hata Raporu:

sordu blade19899 21.09.2015 09:51

7 cevap

83

Tahminimce, güçlü bir algoritma kullanan en eksiksiz disk şifrelemesi ve en önemlisi, şifreniz, yerel olarak saklanan verilerinizi güvenceye alabilen tek şeydir. Bu muhtemelen size% 99,99 güvenlik sağlar. Lütfen bunun nasıl yapılacağıyla ilgili birçok kılavuzdan birine başvurun.

Ayrıca, makinenizi fiziksel erişimi olan deneyimli bir bilgisayar korsanı tarafından güvenli hale getirmek mümkün DEĞİL .

  • Kullanıcı / hesap şifreleri:
    Kendinizi tanımladığınız gibi kurtarma moduna önyükleme yapıyorsanız, yeni bir yönetici kullanıcısı oluşturmak kolaydır, çünkü şifreler bu şekilde sorulmadan bir kök kabuk elde edersiniz. Bu, yanlışlıkla bir güvenlik sorunu gibi görünebilir, ancak (örn. Bunu kim düşünebilirdi?) Yönetici şifrenizi kaybettiniz veya sudo komutunu veya diğer önemli şeyleri karıştırdınız.

  • kök şifre:
    Ubuntu, varsayılan olarak herhangi bir root kullanıcı şifresi belirlemedi. Bununla birlikte, bir tane ayarlayabilirsiniz ve kurtarma modunda önyükleme yaparsanız bunun için sorulur. Bu oldukça güvenli görünüyor, ama yine de nihai olarak güvenli bir çözüm değil. Tek bir kullanıcı modunda başlatılan Ubuntu'yu önyüklemeden önce single init=/bin/bash kernel dizini GRUB ile hala ekleyebilirsiniz. Bu aslında şifre olmadan da root kabuğu olur.

  • GRUB menüsünü bir parola ile güvenlik altına alma:
    GRUB menü girişlerinizi yalnızca kimlik doğrulama işleminden sonra erişilebilir olması için güvenceye alabilirsiniz, yani şifreleme olmadan kurtarma modunu ön yükleme işlemini reddedebilirsiniz. Bu ayrıca çekirdek parametrelerini manipüle etmeyi de engeller. Daha fazla bilgi için, bkz. Help.ubuntu.com adresindeki Grub2 / Şifreler sitesi . Bu, yalnızca harici bir ortamdan önyükleme yapılıyorsa veya HDD'yi doğrudan başka bir makineye bağlarsanız atlanabilir.

  • BIOS’ta harici medyadan önyüklemeyi devre dışı bırak:
    Önyükleme sırasını ayarlayabilir ve çoğu mevcut BIOS / UEFI sürümlerindeki aygıtları önyüklemeden hariç tutabilirsiniz. Bu ayarlar, herkesin kurulum menüsüne girebildiği gibi güvenli değildir. Burada da bir şifre belirlemelisiniz, ama ...

  • BIOS şifreleri:
    Genellikle BIOS şifrelerini de bypass edebilirsiniz. Birkaç yöntem var:

    • Bilgisayar kasasını açıp CMOS pilini fiziksel olarak kaldırarak veya geçici olarak bir "Clear CMOS" atlama kablosu ayarlayarak CMOS belleğini sıfırlayın (BIOS ayarlarının kaydedildiği yerlerde).
    • BIOS ayarlarını bir servis tuşu ile sıfırlayın. Çoğu anakart üreticisi, şifrelenmiş BIOS ayarlarını parola dahil olmak üzere varsayılan değerlere sıfırlamak için servis kılavuzlarındaki tuş kombinasyonlarını açıklar. Bunun bir örneği, gücü açarken ScreenUp tuşunu basılı tutmak olurdu. Bu, eğer doğru hatırlamıyorsam, overclock ayarlarımı bozduktan sonra AMI BIOS ile benim için bir acer anakartın kilidini açtı.
    • Son olarak, gerçek set şifresinden bağımsız olarak her zaman çalışmakta olan bir dizi varsayılan BIOS şifresi vardır. Test etmedim, ancak bu site , üreticiye göre kategorilere ayrılmış bir liste sunuyor.
      Bu bilgi ve bağlantı için Rinzwind'e teşekkürler!
  • Bilgisayar kasasını kilitleyin / anakart ve sabit diske fiziksel erişimi engelleyin:
    Her şey başarısız olursa bile, bir veri hırsız dizüstü bilgisayarınızı / bilgisayarınızı açabilir, HDD’yi çıkartabilir ve kendi bilgisayarına bağlayabilir. Şifrelenmiş dosyalara erişmek ve ona erişmek, ondan bir parça kek. Bilgisayarı kimsenin açamayacağından emin olabileceğiniz güvenli bir şekilde kilitli bir kutuya koymalısınız. Ancak bu, dizüstü bilgisayarlar için ve masaüstü bilgisayarlar için zor değildir. Belki birileri onu açmaya çalışırsa içerideki patlayıcıları havaya uçuran kendi kendini imha etme aygıtı gibi bir aksiyon filmine sahip olmayı düşünebilirsiniz. ;-) Ancak, bakım için kendiniz açmak zorunda kalmayacağınızdan emin olun!

  • Tam disk şifreleme:
    Bu yöntemi güvenli olarak tavsiye ettiğimi biliyorum, ancak açıkken dizüstü bilgisayarınızı kaybederseniz% 100 güvenli de değil. Çalışan makineyi sıfırladıktan sonra saldırganın şifreleme anahtarlarını RAM'inizden okumalarını sağlayan bir "soğuk önyükleme saldırısı" vardır. Bu, sistemi boşaltır, ancak güç olmadan zamanın RAM içeriğini temizlemez.
    Bu saldırı hakkındaki yorumları için kos'a teşekkürler!
    Ayrıca ikinci yorumunu buraya yazacağım:

      

    Bu eski bir video, ancak kavramı iyi açıklıyor: " Unutmayalım: YouTube'daki Şifreleme Anahtarları Üzerindeki Soğuk Önyükleme Saldırıları , bir BIOS şifresi ayarlanmışsa, saldırgan dizüstü bilgisayarı hala özel olduğunda etkinleştirmek için hala CMOS pilini çıkarabilir herhangi bir kritik saniye kaybetmeden önyükleme için tasarlanmış bir sürücü, bu SSD'ler nedeniyle günümüzde daha korkutucu, özel hazırlanmış bir SSD muhtemelen 1 dakikadan daha az sürede 8GB'lık bir döküm kapasitesine sahip olacak şekilde, ~ 150MB / s yazma hızını göz önünde bulundurarak

    İlgili, ancak Soğuk Önyükleme Saldırılarını nasıl önleyeceğimiz konusunda henüz yanıtlanmamış bir soru: Uyku / RAM askıya almadan önce LUKSsupend çağırmak için Ubuntu (tam disk şifreleme kullanarak) nasıl etkinleştiririm?

Sonuç olarak: Şu anda, dizüstü bilgisayarınızı fiziksel erişim ve kötü niyetli bir kişi tarafından kullanılmasını gerçekten hiçbir şey gerçekten korumaz. Parolanızı veya bir kazayı unuttuğunuzda her şeyi kaybetme riskiyle karşı karşıya kalacağınız kadar paranoyaksanız tüm verilerinizi yalnızca şifreleyebilirsiniz. Böylece şifreleme, yedeklemeleri zaten olduklarından daha da önemli hale getirir. Ancak, daha sonra şifreli ve çok güvenli bir yerde bulunmalıdırlar. Ya da sadece dizüstü bilgisayarınızı vermeyin ve umarım asla kaybetmezsiniz. ; -)

Verilerinizle ilgili daha az ilgilendiğiniz ancak donanımınız hakkında daha fazla bilgi sahibi olursanız, GPS göndericisini kasanıza satın almak ve yüklemek isteyebilirsiniz, ancak bu yalnızca gerçek paranoyak insanlar veya federal ajanlar içindir.

    
verilen cevap Byte Commander 21.09.2015 10:15
10

Disketinizi şifreleyin. Bu sayede dizüstü bilgisayarınız çalındığında sisteminiz ve verileriniz güvende olacaktır. Aksi halde:

  • BIOS şifresi yardımcı olmaz: Hırsız, diski bilgisayarınızdan kolayca çıkarır ve bilgisayardan önyüklemek için başka bir PC'ye yerleştirebilir.
  • Kullanıcı / root parolanız aşağıdakilere yardımcı olmaz: hırsız diski yukarıda açıklandığı gibi kolayca bağlayabilir ve tüm verilerinize erişebilir.

Bir LVM kurabileceğiniz bir LUKS bölümüne sahip olmanızı öneririm. Önyükleme bölümünüzü şifrelenmemiş halde bırakabilirsiniz, böylece şifrenizi sadece bir kez girmeniz yeterlidir. Bu, sisteminizin kurcalanıp daha kolay fark edilebileceği anlamına gelir (çaldırılır ve hatta siz bile fark etmeden size geri döner), fakat bu çok nadir bir durumdur ve eğer NSA tarafından takip edilmediğiniz sürece, bir hükümet veya bir çeşit mafya, bunun için endişelenmemelisin.

Ubuntu yükleyiciniz size LUKS + LVM ile yükleme işlemini çok kolay ve otomatik bir şekilde yapmalıdır. İnternette bol miktarda dokümantasyon olduğu için detayları burada tekrar göndermiyorum. : -)

    
verilen cevap Peque 21.09.2015 09:53
10

En güvenli dizüstü bilgisayar, üzerinde herhangi bir veri bulunmayan. Kendi özel bulut ortamınızı kurabilir ve yerel olarak önemli bir şey saklayamazsınız.

Ya da sabit diski çıkar ve termitle erit. Bu teknik soruya cevap verirken, dizüstü bilgisayarınızı artık kullanamayacağınız için en pratik olmayabilir. Ama o da hiç şüphesiz o kibirli hackerlar olacak.

Bu seçeneklerin kısıtlanması, sabit sürücüyü iki kez şifreleyin ve şifresini çözmek için USB flash sürücünün takılı olmasını gerektirir. USB thumbdrive bir şifre çözme anahtarı seti içeriyor ve BIOS diğer set - şifre korumalı elbette içeriyor. USB thumbdrive, askıya alma / devam ettirme sırasında takılı değilse, otomatik veri kendini imha etme rutini ile birleştirin. USB thumbdrive'ınızı her zaman kişinize taşıyın. Bu kombinasyon ayrıca XKCD # 538 ile de ilgilenir.

    
verilen cevap E. Diaz 21.09.2015 22:20
5

Dikkat çekmeye değer bir çift donanım çözümü var.

Öncelikle, bazı Lenovo dizüstü bilgisayarları gibi bazı dizüstü bilgisayarlar, kasanın ne zaman açıldığını algılayan bir dış müdahale algılama anahtarıyla birlikte gelir. Lenovo’da bu özellik BIOS’ta etkinleştirilmeli ve bir yönetici şifresi ayarlanmalıdır. Kurcalama saptandığında, dizüstü bilgisayar hemen kapatılır (inanıyorum), başlangıçta bir uyarı gösterecek ve yönetici şifresi ile uygun AC adaptörünün devam etmesini gerektirecektir. Bazı sabotaj dedektörleri de sesli alarmı kurar ve bir e-posta göndermek için yapılandırılabilir.

Sabotaj saptama gerçekten kurcalamayı engellemez (ancak RAM'den veri çalınmasını zorlaştırabilir - ve CMOS pili çıkarmaya çalışmak gibi çok tehlikeli bir şey algılarsa kurcalama tespiti cihazı "tutabilir". Asıl avantajı, birisinin bilmeden donanım ile gizlice kurcalamamasıdır - tam disk şifreleme gibi güçlü bir yazılım güvenliği kurduysanız, donanımla kurcalamayı gizlemek kesinlikle kalan saldırı vektörlerinden biridir.

Başka bir fiziksel güvenlik, bazı dizüstü bilgisayarların bir kenara sabitlenebilmesidir. Yuva bir masaya (dizüstü bilgisayarın altında olacak vidalarla) güvenli bir şekilde monte edilmişse ve dizüstü bilgisayar kullanılmadığı zaman kenara sabitlenmişse, ek bir fiziksel koruma katmanı sağlar. Tabii ki bu belirsiz bir hırsızı durduramaz ama dizüstü bilgisayarı evinizden veya iş yerinizden çalmaktan kesinlikle vazgeçirir ve kilitliyken hala mükemmel bir şekilde kullanılabilir (ve çevre birimlerini, ethernet'i vb. Takabilirsiniz).

Elbette, bu fiziksel özellikler, sahip olmadıkları bir dizüstü bilgisayarın güvenliğini sağlamak için kullanışlı değildir. Ancak güvenlik konusunda bilinçli biriyseniz, bir dizüstü bilgisayar satın alırken onları dikkate almaya değer olabilir.

    
verilen cevap Blake Walsh 21.09.2015 15:34
2

Diskin şifrelenmesine ek olarak (bununla uğraşmayacaksınız): - SELINUX ve TRESOR. Her ikisi de Linux çekirdeğini sertleştiriyor ve saldırganların işleri hafızadan okumasını zorlaştırmaya çalışıyor.

Siz bu işteyken: Şimdi sadece banka kartı bilgilerinizi isteyen kötü rastgele adamların korkusunu değil (bunu yapmıyoruz), ancak çoğu zaman istihbarat ajanslarının yetkisine giriyoruz. Bu durumda daha fazlasını yapmak için istersiniz:

  • Bilgisayardan kapalı kaynak (ayrıca bellenim yazılımı) temizlemeye çalışın. Bu UEFI / BIOS içerir!
  • Tianocore / coreboot'u yeni UEFI / BIOS olarak kullan
  • SecureBoot'u kendi anahtarlarınızla kullanın.

Yapabileceğiniz diğer şeylerin bolluğu var, ancak bu kullanıcılar gıdıklamaları gereken makul miktarda şey vermelidir.

Ve unutma ki: xkcd ; -)

    
verilen cevap larkey 21.09.2015 12:56
2

Çünkü soruyu biraz değiştirdiniz, işte değiştirilen kısım cevabım:

  

Makinemi, fiziksel erişimi kesmek mümkün olmayacak şekilde nasıl güvenli hale getirebilirim?

Yanıt: Yapamazsın

Kurcalama algılama , şifreleme vb. gibi birçok gelişmiş donanım ve yazılım sistemi vardır, ancak bunların hepsi buna dahildir:

Verilerinizi koruyabilirsiniz, ancak birisinin erişimi olduğunda donanımı koruyamazsınız. Ve bir başkası eriştikten sonra herhangi bir donanımı kullanmaya devam ederseniz, verilerinizi tehlikeye atıyorsunuz!

Birisi açmaya çalıştığında RAM'i temizleyen, tam disk şifrelemeyi kullanan, verilerinizin farklı konumlarda şifrelenmiş yedeklerini depolayan, sabotaj saptama özelliğine sahip güvenli bir dizüstü bilgisayar kullanın. Ardından, donanımınıza fiziksel erişim sağlamak için mümkün olduğunca zor hale getirin. Ama eğer birisinin senin donanıma erişebileceğine inanırsan, sil ve onu at.

Sonraki soru sormalısınız : Kurcalanmayan yeni donanımı nasıl edinebilirim.

    
verilen cevap Josef 24.09.2015 11:35
1

HDD / SSD'niz için bir ATA şifresi kullanın

Bu, diskin parola olmadan kullanılmasını engeller. Bu, parola olmadan önyükleme yapamayacağınız anlamına gelir, çünkü şifre olmadan MBR veya ESP erişemezsiniz. Ve eğer disk başka bir mançenin içinde kullanılıyorsa, şifre hala gereklidir.

Böylece, HDD / SSD'niz için sözde kullanıcı ATA şifresini kullanabilirsiniz. Bu genellikle BIOS'un içinde ayarlanır (ancak bu bir BIOS şifresi değildir).

Ekstra güvenlik için, diskte de bir ana ATA parolası ayarlayabilirsiniz. Üretici şifresinin kullanımını devre dışı bırakmak için.

Bunu hdparm ile de yapabilirsiniz.

Ekstra bakım alınmalıdır çünkü şifrenizi kaybederseniz tüm verilerinizi kaybedebilirsiniz.

İşte

Not: Ayrıca, ATA şifresini geri aldığını iddia eden yazılımlar olduğu için, buradaki zayıflıklar da var. Yani% 100 güvenli değil.

Not: ATA parolası mutlaka FED (Tam Disk Şifreleme) ile birlikte gelmez

    
verilen cevap solsTiCe 16.10.2016 23:08

Etiketlerdeki diğer soruları oku