अपने लैपटॉप को कैसे सुरक्षित करें ताकि भौतिक पहुंच द्वारा हैकिंग संभव न हो?

73

मैंने अपने सिस्टम को पहले गड़बड़ कर दिया था, मुझे उबंटू में बूट करने पर, एक काली स्क्रीन के साथ बधाई दी गई थी। जब मैंने अपना लैपटॉप शुरू किया, तो मैंने ग्रब मेनू से रिकवरी विकल्प का चयन किया, और रूट टर्मिनल पर कमबैक को चुना । मैंने देखा कि मैं ऐड यूज़र कमांड का उपयोग करने में सक्षम था, इसके साथ, मैं शायद अपनी मशीन पर एक विशेषाधिकार प्राप्त उपयोगकर्ता बनाने के लिए उपयोग कर सकता था।

क्या यह सुरक्षा मुद्दा नहीं है?

कोई मेरा लैपटॉप चुरा सकता है और स्टार्टअप में रिकवरी चुनकर दूसरे यूजर को जोड़ सकता है, मैं तब ठगा हुआ हूं। मेरे डेटा सहित।

यह सोचने के लिए आओ, भले ही आप किसी भी तरह उस प्रविष्टि को हटा दें, कोई लाइव-सीडी से बूट कर सकता है, chrootउठ सकता है और चल सकता है और फिर एक अन्य उपयोगकर्ता जोड़ सकता है, सही विशेषाधिकार के साथ जो इसे मेरे सभी डेटा को देखने की अनुमति देता है।

अगर मैं BIOS को अपने HD पर बूट करने के लिए सेट करता हूं, तो कोई यूएसबी, सीडी / डीवीडी, नेटवर्क स्टार्टअप, और एक BIOS पासवर्ड सेट नहीं करता है, फिर भी यह कोई फर्क नहीं पड़ता, क्योंकि आपके पास अभी भी ग्रब रिकवरी स्टार्टअप प्रविष्टि होगी।

मुझे पूरा यकीन है कि चीन, रूस का कोई व्यक्ति मेरे उबंटू ट्रस्टी तहर को नेटवर्क से हैक नहीं कर सकता, क्योंकि यह उसी तरह सुरक्षित है। लेकिन, अगर किसी को मेरी - आपकी - मशीन की भौतिक पहुंच है, तो, ठीक है, इसीलिए मैं यह सवाल पूछ रहा हूं। मैं अपनी मशीन को कैसे सुरक्षित कर सकता हूं ताकि भौतिक पहुंच के माध्यम से हैकिंग संभव न हो?

बग रिपोर्ट:

14.04  grub2  security  encryption 
blade19899
स्रोत
35
अपने शिकंजा के लिए पूर्ण डिस्क एन्क्रिप्शन और ग्लिटर्नटेलपॉलिश। आजकल कौन नहीं करता है?
सोमवार
2
@ByteCommander आप रूट उपयोगकर्ता जोड़ सकते हैं। बस यूआईडी 0 / / / पासवर्ड के साथ एक और उपयोगकर्ता जोड़ें। मैंने अभी फ़्रेड जोड़ा है fred:x:0:0:fred,,,:/home/fred:/bin/bashऔर अब अगर मैं फ़्रेड और रन के रूप में लॉगिन करता whoamiहूं, तो मुझे मिलता हैroot
जोसेफ़
3
@ByteCommander वे होने चाहिएadduserआदि जैसे खातों का प्रबंधन करने के लिए उपकरण आपको ऐसा करने की अनुमति नहीं देंगे, लेकिन केवल संपादन /etc/passwdकार्य। एक हैकर होने के नाते अनदेखा करते हुए आपको क्या मतलब चाहिए करते हैं;)
जोसेफ
3
@ ब्लेड19899 आपके नए बग को निश्चित रूप से अस्वीकार कर दिया जाएगा। : इस मौजूदा एक की तुलना करें bugs.launchpad.net/ubuntu/+bug/283662
बाइट कमांडर
4
@ ब्लेड19899 मेरा व्यापक बिंदु यह है कि आपको जोखिमों और व्यापार-नापसंद के संदर्भ में सोचने की जरूरत है, निरपेक्षता की नहीं। मुझे पता नहीं है कि आप कौन हैं या आप कहां रहते हैं, लेकिन एक घर की डकैती जो आपके डेटा का प्रभावी ढंग से उपयोग करने के लिए किसी को ले जाती है (केवल हार्डवेयर को लोड करने की कोशिश कर रही है), जो थोड़ी दूर तक लगती है और संभवतः समय से कम चिंता का विषय है, पैसे या यहां तक ​​कि डेटा हानि जो प्रभावी पुनर्प्राप्ति विकल्पों की कमी के परिणामस्वरूप हो सकती है। यही वजह है कि फॉल-बैक रूट टर्मिनल का होना अच्छी बात है। लेकिन स्पष्ट रूप से यह कहना नहीं है कि आपको पूर्ण-डिस्क एन्क्रिप्शन में नहीं देखना चाहिए।
आराम

जवाबों:

86

मेरा अनुमान है कि एक मजबूत एल्गोरिथ्म का उपयोग करके केवल पूर्ण डिस्क एन्क्रिप्शन और, सबसे महत्वपूर्ण, अच्छा पासवर्ड ही एकमात्र चीज है जो आपके स्थानीय रूप से संग्रहीत डेटा को सुरक्षित कर सकता है। यह आपको संभवतः 99.99% सुरक्षा देता है। यह कैसे करना है पर कई गाइडों में से एक को देखें।

इसके अलावा, भौतिक पहुँच के साथ एक अनुभवी हैकर से आपकी मशीन को सुरक्षित करना संभव नहीं है

  • उपयोगकर्ता / खाता पासवर्ड:
    यदि आप पुनर्प्राप्ति मोड में बूट करते हैं, तो नया व्यवस्थापक उपयोगकर्ता बनाना आसान है, जैसा कि आपने स्वयं बताया है, क्योंकि आपको इस तरह से पासवर्ड मांगे बिना रूट शेल मिलता है।
    यह एक आकस्मिक सुरक्षा समस्या की तरह लग सकता है, लेकिन इसका उद्देश्य है (जिसने सोचा होगा?) पुनर्प्राप्ति मामले, जहां आपने अपना व्यवस्थापक पासवर्ड खो दिया है या sudoकमांड या अन्य महत्वपूर्ण सामान को गड़बड़ कर दिया है ।

  • रूट पासवर्ड:
    उबंटू ने डिफ़ॉल्ट रूप से कोई रूट उपयोगकर्ता पासवर्ड सेट नहीं किया है। हालाँकि, आप एक सेट कर सकते हैं और इसके लिए कहा जाएगा यदि आप पुनर्प्राप्ति मोड में बूट करते हैं। यह बहुत सुरक्षित लगता है, लेकिन अभी भी कोई सुरक्षित समाधान नहीं है। single init=/bin/bashउबंटू को बूट करने से पहले आप कर्नेल पैरामीटर को अभी भी जोड़ सकते हैं जो इसे एकल उपयोगकर्ता मोड में शुरू करता है - जो वास्तव में पासवर्ड के साथ एक रूट शेल भी है।

  • एक पासवर्ड के साथ GRUB मेनू को सुरक्षित करना:
    आप अपने GRUB मेनू प्रविष्टियों को केवल प्रमाणीकरण के बाद सुलभ होने के लिए सुरक्षित कर सकते हैं, अर्थात आप पासवर्ड के बिना पुनर्प्राप्ति मोड को बूट करने से इनकार कर सकते हैं। यह कर्नेल मापदंडों में हेरफेर करने से भी रोकता है। अधिक जानकारी के लिए, देखें help.ubuntu.com पर Grub2 / पासवर्ड साइट देखें । यह केवल तभी बाईपास किया जा सकता है जब आप बाहरी माध्यम से बूट करते हैं या HDD को किसी अन्य मशीन से सीधे कनेक्ट करते हैं।

  • BIOS में बाहरी मीडिया से बूट करने को अक्षम करें:
    आप बूट ऑर्डर सेट कर सकते हैं और आमतौर पर कई वर्तमान BIOS / UEFI संस्करणों में बूट से डिवाइस को बाहर कर सकते हैं। उन सेटिंग्स को सुरक्षित नहीं किया गया है, क्योंकि हर कोई सेटअप मेनू में प्रवेश कर सकता है। आपको यहां भी एक पासवर्ड सेट करना होगा, लेकिन ...

  • BIOS पासवर्ड:
    आप आमतौर पर BIOS पासवर्ड को बायपास कर सकते हैं। कई विधियाँ हैं:

    • कंप्यूटर केस खोलकर और CMOS बैटरी को हटाकर या अस्थायी रूप से "Clear CMOS" जम्पर सेट करके CMOS मेमोरी (जहाँ BIOS सेटिंग्स संग्रहीत की जाती हैं) रीसेट करें।
    • सेवा कुंजी संयोजन के साथ BIOS सेटिंग्स रीसेट करें। अधिकांश मदरबोर्ड निर्माता पासवर्ड सहित डिफ़ॉल्ट मानों में गड़बड़ सेटिंग्स को रीसेट करने के लिए अपनी सेवा नियमावली में प्रमुख संयोजनों का वर्णन करते हैं। एक उदाहरण यह होगा ScreenUpकि बिजली चालू करते समय, यदि मुझे सही याद है, तो मेरे ओवरक्लॉकिंग सेटिंग्स को गड़बड़ाने के बाद एक बार एएमआई BIOS के साथ एक एसर मदरबोर्ड को खोल दिया।
    • अंतिम लेकिन कम से कम, डिफ़ॉल्ट BIOS पासवर्ड का एक सेट है जो हमेशा काम करने के लिए लगता है, असली सेट पासवर्ड से स्वतंत्र है। मैंने इसका परीक्षण नहीं किया, लेकिन यह साइट निर्माता द्वारा वर्गीकृत की गई एक सूची प्रदान करती है।
      इस जानकारी और लिंक के लिए रिन्ज़विंड के लिए धन्यवाद!

  • कंप्यूटर केस / मदरबोर्ड और हार्ड डिस्क
    तक भौतिक पहुंच से इनकार करें: भले ही सब कुछ विफल हो जाए, एक डेटा चोर अभी भी आपके लैपटॉप / कंप्यूटर को खोल सकता है, एचडीडी को बाहर निकाल सकता है और इसे अपने कंप्यूटर से कनेक्ट कर सकता है। इसे माउंट करना और सभी अनएन्क्रिप्टेड फ़ाइलों तक पहुँचना, केक का एक हिस्सा है। आपको इसे एक सुरक्षित रूप से लॉक किए गए मामले में डालना होगा जहां आप सुनिश्चित कर सकते हैं कि कोई भी कंप्यूटर खोलने में सक्षम नहीं है। यह हालांकि लैपटॉप के लिए असंभव है और डेस्कटॉप के लिए मुश्किल है। हो सकता है कि आप आत्म-विनाशकारी डिवाइस जैसी एक्शन फिल्म के मालिक के बारे में सोच सकते हैं जो किसी विस्फोटक को उड़ाता है अगर कोई इसे खोलने की कोशिश करता है? ;-) लेकिन सुनिश्चित करें कि आपको इसे रखरखाव के लिए खुद को कभी नहीं खोलना होगा!

  • पूर्ण डिस्क एन्क्रिप्शन:
    मुझे पता है कि मैंने इस पद्धति को सुरक्षित रखने की सलाह दी है, लेकिन यह 100% सुरक्षित नहीं है यदि आप अपना लैपटॉप खो देते हैं। एक तथाकथित "कोल्ड बूट अटैक" है जो हमलावर को रनिंग मशीन को रीसेट करने के बाद आपके रैम से एन्क्रिप्शन कुंजी को पढ़ने की अनुमति देता है। यह सिस्टम को अनलोड करता है, लेकिन बिना पावर के समय की रैम सामग्री को फ्लश नहीं करता है।
    इस हमले के बारे में उनकी टिप्पणी के लिए कोस को धन्यवाद!
    मैं उनकी दूसरी टिप्पणी भी यहाँ उद्धृत करने जा रहा हूँ:

    यह एक पुराना वीडियो है, लेकिन इस अवधारणा को अच्छी तरह से समझाता है: "कम से कम हम याद रखें: YouTube पर एन्क्रिप्शन कुंजी पर कोल्ड बूट अटैक" ; यदि आपके पास एक BIOS पासवर्ड सेट है, तो हमलावर अभी भी सीएमओएस बैटरी को हटा सकता है, जबकि लैपटॉप अभी भी कस्टम क्रिएट किए गए ड्राइव को बिना किसी महत्वपूर्ण दूसरे को खोने के बूट करने में सक्षम है; SSDs के कारण आजकल यह बहुत कम है, क्योंकि एक कस्टम तैयार की गई SSD शायद 1 मिनट से भी कम समय में 8GB डंप करने में सक्षम होगी, इसकी लेखन गति पर विचार ~ 150MB / s

    संबंधित, लेकिन अभी भी अनुत्तरित प्रश्न कि कोल्ड बूट अटैक को कैसे रोका जाए: मैं उबंटू (पूर्ण डिस्क एन्क्रिप्शन का उपयोग करके) को सोने से पहले LUKSsupend को कॉल करने में सक्षम कैसे करूं / रैम को निलंबित कर दूं?

निष्कर्ष निकालने के लिए: वर्तमान में कुछ भी वास्तव में आपके लैपटॉप को किसी ऐसे व्यक्ति द्वारा उपयोग करने से रोकता है जो किसी भौतिक उपयोग और दुर्भावनापूर्ण इरादे से करता है। यदि आप अपना पासवर्ड या क्रैश भूलकर सब कुछ खोने का जोखिम उठाने के लिए पर्याप्त पागल हैं, तो आप केवल अपने सभी डेटा को पूरी तरह से एन्क्रिप्ट कर सकते हैं। इसलिए एन्क्रिप्शन बैकअप को और भी महत्वपूर्ण बनाता है क्योंकि वे पहले से ही हैं। हालांकि, उन्हें तब भी एन्क्रिप्ट किया जाना चाहिए और एक बहुत ही सुरक्षित स्थान पर स्थित होना चाहिए।
या बस अपने लैपटॉप को दूर न दें और आशा करें कि आप इसे कभी नहीं खोएंगे। ;-)

यदि आप अपने डेटा के बारे में कम लेकिन अपने हार्डवेयर के बारे में अधिक परवाह करते हैं, तो आप अपने मामले में एक जीपीएस प्रेषक खरीदना और स्थापित करना चाह सकते हैं, लेकिन यह केवल असली पागल या संघीय एजेंटों के लिए है।

बाइट कमांडर
स्रोत
7
और फिर भी फुल डिस्क एन्क्रिप्शन आपको कोल्ड-बूट के हमलों से नहीं बचाएगा, अगर आपका लैपटॉप चालू है तो!
कोस
14
इसके बाद जब आपका लैपटॉप किसी भी समय आपके नियंत्रण से बाहर था, तो अब उसके सुरक्षित होने की उम्मीद नहीं की जा सकती है। यह अब आपके प्री-बूट पासवर्ड को लॉग इन कर सकता है।
जोसेफ
1
अपने डेटा को एन्क्रिप्ट करने से इसे खोने का जोखिम नहीं बढ़ना चाहिए, क्योंकि आपके पास बैकअप है, है ना? केवल एक बार संग्रहीत डेटा, मौजूद डेटा की तुलना में बहुत बेहतर नहीं है। SSDs विशेष रूप से उनमें से कुछ भी बाहर निकलने का मौका दिए बिना अचानक विफल हो जाते हैं।
जोसेफ
3
यह एक पुराना वीडियो है, लेकिन अवधारणा को अच्छी तरह से समझाता है: youtube.com/watch?v=JDaicPIgn9U ; यदि आपके पास एक BIOS पासवर्ड सेट है, तो हमलावर अभी भी सीएमओएस बैटरी को हटा सकता है, जबकि लैपटॉप अभी भी कस्टम क्रिएट किए गए ड्राइव को बिना किसी महत्वपूर्ण दूसरे को खोने के बूट करने में सक्षम है; SSDs के कारण यह आजकल दुर्लभ है, एक कस्टम तैयार की गई SSD शायद 1 मिनट से भी कम समय में 8GB भी डंप करने में सक्षम होगी, ~ 150MB / s
kos
2
@ByteCommander लेकिन आपका SSD केवल एक ही विफल हो सकता है और आपका सारा डेटा खो जाता है। निश्चित रूप से, यदि आप पासवर्ड भूल जाते हैं (ठीक है, तो इसे लिख लें और फिर इसे अपनी तिजोरी में रख दें) आपके सभी डेटा खोने की संभावना एन्क्रिप्शन के साथ बढ़ सकती है, लेकिन यह ऐसा नहीं है कि आपका डेटा सुपर सुरक्षित है जब तक आप इसे एन्क्रिप्ट करने की हिम्मत नहीं करते । आप "अपना पासवर्ड या कोई क्रैश भूलकर सब कुछ जोखिम में न डालें", आप बैकअप नहीं होने से ऐसा करते हैं।
जोसेफ
11

सबसे सुरक्षित लैपटॉप उस पर किसी भी डेटा के बिना एक है। आप अपना निजी क्लाउड वातावरण सेट कर सकते हैं और फिर स्थानीय स्तर पर महत्व का कुछ भी संग्रह नहीं कर सकते।

या हार्ड ड्राइव को बाहर निकालें और इसे थर्माइट से पिघलाएं। हालांकि यह तकनीकी रूप से प्रश्न का उत्तर देता है, यह सबसे व्यावहारिक नहीं हो सकता है क्योंकि आप अपने लैपटॉप का उपयोग नहीं कर पाएंगे। लेकिन दोनों में से कोई भी कभी भी नेबुला हैकर नहीं होगा।

उन विकल्पों को छोड़कर, हार्ड ड्राइव को डुअल-एन्क्रिप्ट करें और इसे डिक्रिप्ट करने के लिए USB थंबड्राइव को प्लग इन करना होगा। USB थंबड्राइव में डिक्रिप्शन कीज़ का एक सेट होता है और BIOS में दूसरा सेट - पासवर्ड प्रोटेक्टेड होता है। एक स्वचालित डेटा आत्म-विनाशकारी दिनचर्या के साथ संयुक्त करें अगर बूट के दौरान USB थंबड्राइव को प्लग नहीं किया गया है / निलंबित से फिर से शुरू करें। अपने व्यक्ति पर हर समय USB थंबड्राइव करें। यह संयोजन XKCD # 538 से निपटने के लिए भी होता है ।

XKCD # 538

ई। डियाज़
स्रोत
7
एक बार जब आपका USB थंबड्राइव कॉन्टैक्ट पैड पर कुछ डस्ट जमा कर लेता है तो ऑटोमैटिक सेल्फ-डिस्ट्रक्ट रूटीन निश्चित रूप से एक सुखद आश्चर्य होगा।
दिमित्री ग्रिगोरीव
10

अपनी डिस्क को एन्क्रिप्ट करें। इस तरह से आपका सिस्टम और आपका डेटा आपके लैपटॉप के चोरी होने की स्थिति में सुरक्षित रहेगा। अन्यथा:

  • BIOS पासवर्ड मदद नहीं करेगा: चोर आपके कंप्यूटर से डिस्क को आसानी से निकाल सकता है और इसे बूट करने के लिए दूसरे पीसी पर रख सकता है।
  • आपका उपयोगकर्ता / रूट पासवर्ड या तो मदद नहीं करेगा: चोर आसानी से ऊपर बताए अनुसार डिस्क को माउंट कर सकता है और आपके सभी डेटा तक पहुंच सकता है।

मैं आपको LUKS विभाजन करने की सलाह दूंगा जिसमें आप LVM सेट कर सकते हैं। आप अपने बूट विभाजन को अनएन्क्रिप्टेड छोड़ सकते हैं ताकि आपको केवल एक बार अपना पासवर्ड दर्ज करना पड़े। इसका मतलब यह है कि अगर छेड़छाड़ की गई (चोरी की गई और आपको बिना सूचना दिए भी वापस लौटा दी जाए) तो आपके सिस्टम से अधिक आसानी से समझौता किया जा सकता है, लेकिन यह एक बहुत ही दुर्लभ मामला है और, जब तक आपको नहीं लगता कि आपके द्वारा एनएसए, किसी सरकार या किसी प्रकार का अनुसरण किया जा रहा है माफिया, आपको इस बारे में चिंतित नहीं होना चाहिए।

आपके उबंटू इंस्टॉलर को आपको बहुत आसान और स्वचालित तरीके से LUKS + LVM के साथ इंस्टॉल करने का विकल्प देना चाहिए। मैं यहां विवरणों को फिर से पोस्ट नहीं कर रहा हूं, क्योंकि इंटरनेट पर पहले से ही बहुत सारे दस्तावेज हैं। :-)

Peque
स्रोत
यदि संभव हो, तो क्या आप अधिक विस्तृत जवाब दे सकते हैं। जैसा कि आप मेरे सवाल से कह सकते हैं कि मैं एक सुरक्षा शौकीन नहीं हूं।
ब्लेड 19899
बुलेट पॉइंट्स के लिए upvoted, लेकिन ध्यान दें कि फुल-डिस्क एन्क्रिप्शन ही एकमात्र तरीका नहीं है, और न ही यह आवश्यक है कि आप अपनी संवेदनशील फाइलों को /home/yourName- जैसे कि आपको करना चाहिए; - फिर इस फ़ोल्डर को एक फ़ाइल-स्तरीय एन्क्रिप्शन ड्राइवर (जैसे कि मैंने ओपी में उल्लेख किया है और फिर से स्पैम नहीं करेगा), एक बहुत व्यवहार्य विकल्प के साथ स्टैक करें। मैं उन सभी उबाऊ सामानों को देखकर लोगों के बारे में चिंतित नहीं हूं /usr, आदि
अंडरस्कोर_ड
1
@underscore_d: मैं वास्तव में बाहर के अन्य सामान /home(अन्य विभाजनों में व्यक्तिगत और व्यावसायिक डेटा सहित) के बारे में चिंतित हूं , इसलिए मेरे लिए सब कुछ एन्क्रिप्ट करना आसान है, लेकिन मुझे लगता है कि प्रत्येक उपयोगकर्ता की अपनी आवश्यकताएं :-) हैं। हालांकि, उपयोग ecryptfsकरना सबसे अच्छा प्रदर्शन-वार निर्णय नहीं है। आप यहां कुछ बेंचमार्क पा सकते हैं2-5वास्तविक परिणामों के लिए लेख में पृष्ठ पढ़ना सुनिश्चित करें (पृष्ठ 1सिर्फ एक परिचय है)।
Peque
बहुत सच है, लिंक / बेंचमार्क के लिए धन्यवाद। मैंने अभी तक कोई प्रदर्शन अवरोध नहीं मारा है, लेकिन शायद बाद में मैं करूंगा। इसके अलावा, मुझे एहसास हुआ कि मैं शायद की तरह सामान एन्क्रिप्ट करने के बारे में सोच शुरू करने के लिए होगा /var/log, /var/www, (स्रोत) और /tmp, इसलिए हो सकता है पूर्ण डिस्क एन्क्रिप्शन अधिक समझदार लगते शुरू कर देंगे!
अंडरस्कोर_ड
@underscore_d: हाँ, और फिर आप /etcअन्य शीर्ष-स्तरीय निर्देशिकाओं के बारे में सोचना शुरू करते हैं ... अंत में पूर्ण डिस्क एन्क्रिप्शन एक सरल और तेज़ समाधान है जो आपको हर रात एक बच्चे की तरह सोने देगा। ^ ^
पीक
5

वहाँ हार्डवेयर समाधान के एक जोड़े को ध्यान देने योग्य हैं।

सबसे पहले कुछ लैपटॉप, जैसे कि कुछ लेनोवो व्यावसायिक लैपटॉप एक छेड़छाड़ का पता लगाने वाले स्विच के साथ आते हैं, जो कि मामला खुलने पर पता लगाता है। लेनोवो पर इस सुविधा को BIOS में सक्रिय करने की आवश्यकता है और एक व्यवस्थापक पासवर्ड सेट करने की आवश्यकता है। यदि छेड़छाड़ का पता चला है तो लैपटॉप को (मेरा मानना ​​है) तुरंत बंद हो जाएगा, स्टार्टअप पर यह फिर एक चेतावनी प्रदर्शित करेगा और आगे बढ़ने के लिए व्यवस्थापक पासवर्ड और उचित एसी एडाप्टर की आवश्यकता होगी। कुछ छेड़छाड़ करने वाले डिटेक्टर एक श्रव्य अलार्म को भी बंद कर देंगे, और ई-मेल भेजने के लिए कॉन्फ़िगर किया जा सकता है।

छेड़छाड़ का पता लगाने से वास्तव में छेड़छाड़ को रोका नहीं जा सकता है (लेकिन यह रैम से डेटा चोरी करना कठिन बना सकता है - और छेड़छाड़ का पता लगाने में डिवाइस को "ईंट" कर सकता है अगर यह कुछ सच में डोडी का पता लगाता है जैसे कि सीएमओएस बैटरी को हटाने की कोशिश कर रहा है)। मुख्य लाभ यह है कि कोई आपके बारे में जाने बिना हार्डवेयर के साथ छेड़छाड़ नहीं कर सकता है - यदि आपने पूर्ण डिस्क एन्क्रिप्शन जैसी मजबूत सॉफ़्टवेयर सुरक्षा स्थापित की है, तो हार्डवेयर के साथ गुप्त छेड़छाड़ निश्चित रूप से शेष आक्रमण वैक्टरों में से एक है।

एक और शारीरिक सुरक्षा यह है कि कुछ लैपटॉप को एक डॉक में बंद किया जा सकता है। यदि डॉक को सुरक्षित रूप से एक मेज पर रखा जाता है (स्क्रू के माध्यम से जो लैपटॉप के नीचे होगा) और लैपटॉप को डॉक में बंद रखा जाता है जब उपयोग में नहीं होता है, तो यह भौतिक सुरक्षा की एक अतिरिक्त परत प्रदान करता है। बेशक यह एक निर्धारित चोर को रोक नहीं सकता है, लेकिन यह निश्चित रूप से आपके घर या व्यवसाय से लैपटॉप चोरी करना कठिन बना देता है, और लॉक होने के बावजूद यह पूरी तरह से प्रयोग करने योग्य है (और आप बाह्य उपकरणों, ईथरनेट और डॉक पर प्लग कर सकते हैं)।

बेशक, ये भौतिक सुविधाएँ एक लैपटॉप को हासिल करने के लिए उपयोगी नहीं हैं जो उनके पास नहीं है। लेकिन अगर आप सुरक्षा के प्रति सचेत हैं तो लैपटॉप खरीदते समय उन पर विचार करना सार्थक हो सकता है।

ब्लेक वाल्श
स्रोत
2

इसके अतिरिक्त अपनी डिस्क को एन्क्रिप्ट करने के लिए (आप इसके आसपास नहीं पहुंचेंगे): - SELinux और TRESOR। दोनों लिनक्स कर्नेल को सख्त करते हैं और हमलावरों को मेमोरी से चीजों को पढ़ने के लिए मुश्किल बनाने की कोशिश करते हैं।

जब आप इस पर होते हैं: हम अब आपके डेबिट कार्ड की जानकारी (वे ऐसा नहीं करते) लेकिन अक्सर खुफिया एजेंसियों के लिए पर्याप्त नहीं हैं, केवल यादृच्छिक यादृच्छिक लोगों के डर से क्षेत्र में प्रवेश करते हैं। उस मामले में आप और अधिक करना चाहते हैं:

  • पीसी से बंद स्रोत (भी फर्मवेयर) evrything शुद्ध करने के लिए प्रयास करें। इसमें UEFI / BIOS शामिल है!
  • नए UEFI / BIOS के रूप में tianocore / coreboot का उपयोग करें
  • SecureBoot का उपयोग अपनी चाबियों से करें।

कर रहे हैं बहुत सारे अन्य चीजों के आप कर सकते हैं, लेकिन उन चीजों वे साथ गुदगुदी करने की आवश्यकता के लिए उचित समय देना चाहिए।

और के बारे में मत भूलना: xkcd ;-)

larkey
स्रोत
ये सुझाव मददगार नहीं हैं। न तो SELinux और न ही TRESOR किसी को भौतिक पहुँच के साथ रोकता है। वे इस खतरे के मॉडल के लिए डिज़ाइन नहीं किए गए हैं। वे सुरक्षा की झूठी भावना प्रदान करेंगे। पीएस पर्जिंग क्लोज-सोर्स कोड पूरी तरह से किसी के खिलाफ सुरक्षा प्रदान करने के लिए असंबंधित है।
DW
1
@DW "TRESOR (" TRESOR रन एन्क्रिप्शन सुरक्षित रूप से रैम के लिए पुनरावर्ती संक्षिप्त ") एक लिनक्स कर्नेल पैच है जो शीत बूट हमलों से बचाव के लिए सीपीयू-केवल आधारित एन्क्रिप्शन प्रदान करता है" - इसलिए TRESOR निश्चित रूप से ऐसे परिदृश्यों में मदद करता है। लेकिन यह सिर्फ एक पक्ष है। मैंने 'अतिरिक्त' लिखा क्योंकि अगर आप अपनी डिस्क को एन्क्रिप्ट नहीं करते हैं (भौतिक-पहुंच परिदृश्य में) तो वे कुछ भी नहीं करेंगे। हालाँकि जब आप शारीरिक सुरक्षा से टकराते हैं, तो आपको यह नहीं भूलना चाहिए कि हमलावर अभी भी बस बूट कर सकता है और एक डिजिटल हमला कर सकता है, वह भी (यानी शोषण करने वाले कीड़े)।
larkey
अगर आपका पीसी अच्छी तरह से एन्क्रिप्टेड है, लेकिन विशेषाधिकार वृद्धि का खतरा है, तो @DW यह बहुत ही चमकदार है। इसीलिए - यदि कोई भौतिक पक्ष से सिस्टम को सुरक्षित करने वाला है - किसी को कुछ कठोर सॉफ़्टवेयर-साइड भी करना चाहिए। मैंने स्पष्ट रूप से कहा है कि उन्होंने लिनक्स कर्नेल को सख्त कर दिया है और उन्हें अतिरिक्त रूप से किया जाना चाहिए । यही बात क्लोज-सोर्स सॉफ़्टवेयर के लिए जाती है। हो सकता है कि आपकी डिस्क अच्छी तरह से एन्क्रिप्ट की गई हो, लेकिन अगर UEFI में बैक-डोर कीलॉगर है तो यह आपको खुफिया एजेंसियों के खिलाफ मदद नहीं करेगा।
larkey
यदि आप पूर्ण डिस्क एन्क्रिप्शन का उपयोग करते हैं और अपने कंप्यूटर को बिना चलाए नहीं छोड़ते हैं, तो विशेषाधिकार वृद्धि हमले अप्रासंगिक हैं, क्योंकि हमलावर को डिक्रिप्शन पासवर्ड नहीं पता होगा। (पूर्ण डिस्क एन्क्रिप्शन का समुचित उपयोग करने के लिए आपको अप्राप्य होने पर / हाइबरनेट को बंद करने की आवश्यकता होती है।) यदि आप पूर्ण डिस्क एन्क्रिप्शन का उपयोग करते हैं और अपने कंप्यूटर को अप्राप्य छोड़ देते हैं, तो पूर्ण डिस्क एन्क्रिप्शन को किसी भी तरीके से बाईपास किया जा सकता है - जैसे, USB संलग्न करना। डोंगल - भले ही आप TRESOR, SELinux इत्यादि का उपयोग करते हैं, फिर भी, जिन्हें इस खतरे के मॉडल के लिए डिज़ाइन नहीं किया गया है। यह उत्तर एक सावधान सुरक्षा विश्लेषण को प्रतिबिंबित नहीं करता है।
DW
1
Weasel-wording "try to" के साथ, कुछ भी अर्हता प्राप्त करता है - Rot13 एन्क्रिप्शन यह सुनिश्चित करने की कोशिश कर सकता है कि कोई शोषण सिस्टम पर कब्जा नहीं कर सकता है। यह सफल नहीं होगा, लेकिन मैं इसे कोशिश के रूप में वर्णित कर सकता हूं। मेरा कहना यह है कि आप जो बचाव कर रहे हैं, वह इस वर्ग के हमलों को रोकने में कारगर नहीं है। SELinux / TRESOR कोल्ड बूट बंद न करें। सुरक्षा का विश्लेषण करने के लिए, आपको एक खतरे वाले मॉडल से शुरुआत करनी होगी और उस विशिष्ट खतरे वाले मॉडल के खिलाफ बचाव का विश्लेषण करना होगा। सुरक्षा अतिरिक्त प्रतिबंधों की अंतहीन सूची पर छिड़काव करने की प्रक्रिया नहीं है जो अच्छे लगते हैं। इसका कुछ विज्ञान है।
डीडब्ल्यू
2

क्योंकि आपने प्रश्न को थोड़ा बदल दिया है, यहाँ मेरे बदले हुए भाग का उत्तर है:

मैं अपनी मशीन को कैसे सुरक्षित कर सकता हूं ताकि भौतिक पहुंच के माध्यम से हैकिंग संभव न हो?

उत्तर: आप नहीं कर सकते

बहुत सारे उन्नत हार्डवेयर और सॉफ्टवेयर सिस्टम हैं जैसे छेड़छाड़ का पता लगाना , एन्क्रिप्शन आदि, लेकिन यह सब इसके लिए आता है:

आप अपने डेटा की सुरक्षा कर सकते हैं, लेकिन किसी के पास पहुंचने के बाद आप अपने हार्डवेयर की सुरक्षा नहीं कर सकते। और अगर आप किसी अन्य के पास पहुंचने के बाद किसी भी हार्डवेयर का उपयोग करना जारी रखते हैं, तो आप अपने डेटा को खतरे में डाल रहे हैं!

छेड़छाड़ का पता लगाने के साथ एक सुरक्षित नोटबुक का उपयोग करें जो रैम को साफ करता है जब कोई इसे खोलने की कोशिश करता है, पूर्ण-डिस्क एन्क्रिप्शन का उपयोग करता है, विभिन्न स्थानों में एन्क्रिप्ट किए गए आपके डेटा के बैकअप को स्टोर करता है। फिर अपने हार्डवेयर तक भौतिक पहुंच प्राप्त करने के लिए इसे जितना संभव हो सके उतना कठिन बनाएं। लेकिन अगर आपको लगता है कि आपके हार्डवेयर तक किसी की पहुंच थी, तो उसे मिटा दें और उसे फेंक दें।

अगला सवाल जो आपको पूछना चाहिए वह यह है: मैं नया हार्डवेयर कैसे प्राप्त कर सकता हूं जिसके साथ छेड़छाड़ नहीं की गई है।

जोसेफ
स्रोत
1

अपने HDD / SSD के लिए एक ATA पासवर्ड का उपयोग करें

यह बिना पासवर्ड के डिस्क के उपयोग को रोक देगा । इसका मतलब है कि आप पासवर्ड के बिना बूट नहीं कर सकते क्योंकि आप पासवर्ड के बिना एमबीआर या ईएसपी तक नहीं पहुंच सकते । और अगर डिस्क का उपयोग किसी अन्य मैनचिन के अंदर किया जाता है, तो पासवर्ड अभी भी आवश्यक है।

तो, आप अपने HDD / SSD के लिए एक तथाकथित उपयोगकर्ता ATA पासवर्ड का उपयोग कर सकते हैं । यह आमतौर पर BIOS के अंदर सेट किया जाता है (लेकिन यह BIOS पासवर्ड नहीं है)।

अतिरिक्त सुरक्षा के लिए, आप डिस्क पर एक मास्टर एटीए पासवर्ड भी सेट कर सकते हैं। निर्माता पासवर्ड के उपयोग को अक्षम करने के लिए।

आप इसे क्ली पर hdparmभी कर सकते हैं ।

अतिरिक्त सावधानी बरतनी चाहिए क्योंकि यदि आप पासवर्ड को ढीला करते हैं तो आप अपने सभी डेटा को ढीला कर सकते हैं।

http://www.admin-magazine.com/Archive/2014/19/Using-the-ATA-security-features-of-modern-hard-disks-and-SSDs

नोट: यहाँ भी कमज़ोरियाँ हैं क्योंकि ऐसे सॉफ्टवेअर हैं जो ATA पासवर्ड को पुनर्प्राप्त करने का दावा करते हैं, या इसे हटाने का भी दावा करते हैं। तो यह 100% सुरक्षित भी नहीं है।

नोट: एटीए पासवर्ड जरूरी नहीं कि एफईडी (पूर्ण डिस्क एन्क्रिप्शन) के साथ आता है

अयनांत
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.