Baru-baru ini salah satu teman saya datang ke tempat saya, dalam waktu 15 menit dia meretas akun saya menggunakan Live CD dan mengatur ulang kata sandi di depan saya. Saya bingung melihat hal seperti itu. Tolong tuntun saya untuk mencegah upaya di masa depan menggunakan Live CD.

Cara cepat dan mudah untuk melakukan ini adalah dengan menonaktifkan boot dari CD dan stik USB di BIOS Anda dan menetapkan kata sandi BIOS.

Menurut halaman wiki ini :

Menempatkan kata sandi atau mengunci item menu (dalam file konfigurasi Grub) tidak mencegah pengguna untuk mem-boot secara manual menggunakan perintah yang dimasukkan pada baris perintah grub.

Namun tidak ada yang menghentikan seseorang dari mencuri hard drive Anda dan memasangnya di komputer lain, atau mengatur ulang BIOS Anda dengan melepas baterai, atau salah satu metode lain yang dapat digunakan penyerang ketika mereka memiliki akses fisik ke mesin Anda.

Cara yang lebih baik adalah dengan mengenkripsi drive Anda, Anda bisa melakukan ini dengan mengenkripsi direktori home Anda, atau mengenkripsi seluruh disk:

• Bagaimana cara mengenkripsi partisi rumah saya?
• https://help.ubuntu.com/community/FullDiskEncryptionHowto

Berdiri di samping komputer Anda sambil memegang tongkat tee-bola. Pukul siapa pun yang dekat dengan parah.

Atau menguncinya.

Jika komputer Anda dapat diakses secara fisik, itu tidak aman.

Pertama, peringatan ...

Prosedur proteksi kata sandi grub2 bisa sangat rumit dan jika Anda salah, ada kemungkinan meninggalkan diri Anda dengan sistem non-bootable. Jadi selalu buat cadangan gambar penuh dari hard drive Anda terlebih dahulu. Rekomendasi saya adalah menggunakan Clonezilla - alat cadangan lain seperti PartImage juga bisa digunakan.

Jika Anda ingin mempraktikkan ini - gunakan tamu mesin virtual yang dapat Anda kembalikan snapshot.

Mari kita mulai

Prosedur di bawah ini melindungi pengeditan pengaturan Grub yang tidak sah saat mem-boot - yaitu, menekan euntuk mengedit memungkinkan Anda untuk mengubah opsi boot. Misalnya, Anda bisa memaksa boot ke mode pengguna tunggal dan karenanya memiliki akses ke hard disk Anda.

Prosedur ini harus digunakan bersama dengan enkripsi hard disk dan opsi booting BIOS yang aman untuk mencegah booting dari live cd seperti yang dijelaskan dalam jawaban terkait untuk pertanyaan ini.

hampir semua yang ada di bawah ini dapat disalin dan ditempelkan satu baris pada satu waktu.

Pertama, buat cadangan file grub yang akan kami edit - buka sesi terminal:

sudo mkdir /etc/grub.d_backup
sudo cp /etc/grub.d/* /etc/grub.d_backup

Mari kita membuat nama pengguna untuk grub:

gksudo gedit /etc/grub.d/00_header &

Gulir ke bawah, tambahkan baris kosong baru dan salin dan tempel berikut ini:

cat << EOF
set superusers="myusername"
password myusername xxxx
password recovery 1234
EOF

Dalam contoh ini dua username diciptakan: myusername dan pemulihan

Berikutnya - arahkan kembali ke terminal (jangan tutup gedit):

Hanya pengguna Natty dan Oneiric

Hasilkan kata sandi terenkripsi dengan mengetik

grub-mkpasswd-pbkdf2

Masukkan kata sandi yang akan Anda gunakan dua kali saat diminta

Your PBKDF2 is grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

Bit yang kami minati mulai grub.pbkdf2...dan berakhirBBE2646

Sorot bagian ini menggunakan mouse Anda, klik kanan dan salin ini.

Beralih kembali ke geditaplikasi Anda - sorot teks "xxxx" dan ganti ini dengan yang Anda salin (klik kanan dan tempel)

yaitu garis harus seperti

password myusername grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

semua versi buntu (jelas dan di atas)

Simpan dan tutup file.

Akhirnya Anda perlu untuk melindungi sandi setiap menu grub entri (semua file yang memiliki garis yang dimulai menuentry ):

cd /etc/grub.d
sudo sed -i -e '/^menuentry /s/ {/ --users myusername {/' *

Ini akan menambahkan entri baru --users myusernameke setiap baris.

Jalankan pembaruan-grub untuk membuat ulang grub Anda

sudo update-grub

Ketika Anda mencoba untuk mengedit entri grub akan menanyakan nama pengguna Anda yaitu myusername dan sandi yang Anda gunakan.

Mulai ulang dan uji apakah nama pengguna dan kata sandi ditegakkan saat mengedit semua entri grub.

NB ingatlah untuk menekan SHIFTsaat boot untuk menampilkan grub Anda.

Kata sandi melindungi mode pemulihan

Semua hal di atas dapat dengan mudah diatasi dengan menggunakan mode pemulihan.

Untungnya Anda juga dapat memaksa nama pengguna dan kata sandi untuk menggunakan entri menu mode pemulihan. Di bagian pertama dari jawaban ini kami membuat nama pengguna tambahan yang disebut pemulihan dengan kata sandi 1234 . Untuk menggunakan nama pengguna ini, kami perlu mengedit file berikut:

gksudo gedit /etc/grub.d/10_linux

ubah baris dari:

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

Untuk:

if ${recovery} ; then
   printf "menuentry '${title}' --users recovery ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi 

Saat menggunakan pemulihan gunakan pemulihan nama pengguna dan kata sandi 1234

Jalankan sudo update-grubuntuk membuat kembali file grub Anda

Mulai ulang dan uji apakah Anda diminta sebagai nama pengguna dan kata sandi ketika mencoba mem-boot ke mode pemulihan.

Informasi Lebih Lanjut - http://ubuntuforums.org/showthread.php?t=1369019

Penting untuk diingat bahwa jika seseorang memiliki akses fisik ke mesin Anda, mereka akan selalu dapat melakukan sesuatu untuk PC Anda. Hal-hal seperti mengunci casing PC Anda dan kata sandi BIOS tidak akan menghentikan orang yang bertekad mengambil hard drive dan data Anda.

Anda dapat membuatnya sehingga bahkan dalam kasus pengaturan ulang, "resetter" tidak akan dapat melihat data.

Untuk melakukan ini, cukup enkripsi /home.

Jika Anda ingin membuatnya agar pengaturan ulang tidak dimungkinkan, sesuatu harus dihapus, yang bertugas mengubah kata sandi.