Grub2 सुरक्षित के माध्यम से किसी भी लिनक्स मशीन में कैसे तोड़ पा रहा है?

किसी भी तरह से सुरक्षित तरीके से उन चरणों के साथ जड़ प्राप्त करने के लिए किसी व्यक्ति की क्षमता आपके कंप्यूटर तक कैसे पहुंच गई है?

1. जब grub2 मेनू e लिनक्स स्टार्ट विकल्प को संपादित करने के लिए प्रेस खोलता है

2. परिवर्तन:

   "linux   /vmlinuz-2.6.35-23-generic root=UUID=e7f1e48d-0015-485f-be7d-836217a31312 ro   quiet splash" 
   

   सेवा:

   "linux   /vmlinuz-2.6.35-23-generic root=UUID=e7f1e48d-0015-485f-be7d-836217a31312 ro init=/bin/bash"
   

3. अब आपके पास रूट एक्सेस बस करना है:

   mount -o remount,rw /
   passwd user
   mount -o remount,ro / 
   sync
   

4. कंप्यूटर को रिबूट करें और आप जीतें।

मेरा सवाल है, कैसे grub2 सुरक्षित के माध्यम से किसी भी लिनक्स मशीन में तोड़ने में सक्षम किया जा रहा है? मैं लिनक्स के बारे में उस तथ्य को नहीं समझता, आपके उत्तर के लिए धन्यवाद।

किसी ऐसे व्यक्ति की क्षमता कैसे है जिसने किसी भी तरह से सुरक्षित [Grub / Bash का उपयोग कर] प्राप्त करने के लिए आपके कंप्यूटर पर भौतिक पहुँच प्राप्त की है?

क्योंकि अगर लिनक्स ने ऐसा करना शुरू करने का फैसला किया, तो हैकर्स अन्य सुरक्षा छेदों का शोषण करेंगे। सुरक्षा का पहला नियम यह है कि अगर आपके पास आपके सिस्टम की भौतिक पहुंच है, तो यह खेल खत्म हो गया है। मै जीत गया।

इसके अलावा, कल्पना कीजिए कि आपका एक्स सर्वर टूट गया है और आपके पास अब कोई जीयूआई नहीं है। आपको चीजों को ठीक करने के लिए रिकवरी कंसोल में बूट करने की आवश्यकता है, लेकिन आप असुरक्षित नहीं हैं, क्योंकि यह असुरक्षित है। इस मामले में, आप पूरी तरह से टूटी हुई प्रणाली के साथ रह गए हैं, लेकिन हे, कम से कम यह "सुरक्षित!"

लेकिन काज, यह कैसे संभव है? मैंने अपने Grub पर एक पासवर्ड सेट किया है ताकि आप मेरे initBash में परिवर्तन न कर सकें !

ओह, तुमने किया, क्या तुमने? दिलचस्प है, क्योंकि यह आपके फोटो एल्बम जैसा दिखता है। GRUB में कोई अंतर्निहित सुरक्षा कारक नहीं है। यह सिर्फ एक बूटलोडर है , कुछ सुरक्षित बूट और प्रमाणीकरण श्रृंखला में एक कदम नहीं है। "पासवर्ड" जो आपने सेट किया है, वास्तव में, बाईपास करने के लिए बहुत आसान है।

कि, और क्या sysadmin आपात स्थिति के लिए उन पर बूट ड्राइव नहीं करता है ?

पर कैसे?! आपको मेरा पासवर्ड नहीं पता (जो पूरी तरह से P@ssw0rdbtw नहीं है )

हाँ, लेकिन यह मुझे आपके कंप्यूटर को खोलने और आपकी हार्ड ड्राइव को बाहर निकालने से नहीं रोकता है। वहां से, यह आपके कंप्यूटर पर आपके ड्राइव को माउंट करने के लिए कुछ सरल कदम है, जिससे मुझे आपके सभी सिस्टम तक पहुंच प्राप्त हुई। यह भी अपने BIOS पासवर्ड को दरकिनार करने का भयानक लाभ है। वह, या मैं आपके सीएमओएस को रीसेट कर सकता था। या तो यह या वह।

तो ... मैं आपको अपने डेटा तक कैसे पहुंचने नहीं दूँ?

सरल। अपने कंप्यूटर को मुझसे दूर रखो। अगर मैं इसे छू सकता हूं, तो एक कीबोर्ड का उपयोग कर सकता हूं, अपनी खुद की फ्लैश ड्राइव सम्मिलित कर सकता हूं, या इसे अलग कर सकता हूं, मैं जीत सकता हूं।

तो, क्या मैं अपने कंप्यूटर को डेटासेंटर या किसी चीज़ में रखना पसंद कर सकता हूँ? वे बहुत सुरक्षित हैं, है ना?

हाँ, वे हैं। लेकिन, आप भूल रहे हैं कि मानव भी हैक करने योग्य हैं, और पर्याप्त समय और तैयारी को देखते हुए, मैं शायद उस डेटासेंटर और साइफन में मिल सकता हूं जो आपके कंप्यूटर के सभी मीठे, मीठे डेटा से दूर है। लेकिन मैं पीछे हटा। हम यहां वास्तविक समाधानों के साथ काम कर रहे हैं।

ठीक है, तो तुमने मेरा झांसा दिया। मैं इसे डेटासेंटर में नहीं डाल सकता। क्या मैं अपने होम फोल्डर या कुछ को एन्क्रिप्ट कर सकता हूं?

जरूर आप कर सकते हो! यह आपका कंप्यूटर है! क्या यह मुझे रोकने में मदद करेगा? थोड़ा भी नहीं। मैं बस कुछ महत्वपूर्ण की जगह ले सकता हूं, जैसे /usr/bin/firefoxकि मेरा अपना दुर्भावनापूर्ण कार्यक्रम। अगली बार जब आप फ़ायरफ़ॉक्स खोलते हैं, तो आपके सभी गुप्त डेटा कहीं न कहीं किसी गुप्त सर्वर से बंद हो जाते हैं। और आपको पता भी नहीं चलेगा। या, यदि मेरे पास आपकी मशीन तक लगातार पहुंच है, तो मैं आपके घर के फ़ोल्डर को कॉपी करने के लिए /usr/share/nonsecrets/home/या किसी भी समान (गैर-एन्क्रिप्टेड) ​​स्थान पर सेट कर सकता हूं ।

ठीक है, पूर्ण डिस्क एन्क्रिप्शन के बारे में क्या?

यह ... वास्तव में बहुत अच्छा है। हालाँकि, यह अभी तक सही नहीं है! मैं हमेशा एक कोल्ड बूट अटैक कर सकता हूं, जो मेरे कंप्रेस्ड एयर के भरोसेमंद कैन का इस्तेमाल कर सकता है। या, मैं सिर्फ आपके कंप्यूटर में एक हार्डवेयर keylogger प्लग कर सकते हैं। एक स्पष्ट रूप से दूसरे की तुलना में आसान है, लेकिन जिस तरह से वास्तव में कोई फर्क नहीं पड़ता।

में विशाल मामलों के बहुमत, यह एक अच्छा रोक जगह है। हो सकता है कि इसे टीपीएम (नीचे चर्चा की गई) के साथ जोड़ा जाए, और आप सुनहरे हों। जब तक आप एक तीन-पत्र एजेंसी या बहुत प्रेरित हैकर को नाराज नहीं करते, तब तक किसी को भी इस चरण में आवश्यक प्रयास से नहीं गुजरना होगा।

बेशक, मैं अभी भी आपको कुछ पीपीए या इसी तरह की पेशकश करके कुछ मैलवेयर / बैकस्टॉल स्थापित करने के लिए प्राप्त कर सकता हूं, लेकिन यह उपयोगकर्ता विश्वास के बहुत मुश्किल क्षेत्र में जाता है।

तो ... iPhones इतने सुरक्षित कैसे हैं? भौतिक पहुंच के साथ भी, बहुत कुछ नहीं है जो आप कर सकते हैं।

खैर, हाँ और नहीं। मेरा मतलब है, अगर मुझे काफी प्रेरित किया गया, तो मैं फ्लैश चिप पढ़ सकता हूं और मुझे वह सब कुछ मिल सकता है जिसकी मुझे जरूरत है। लेकिन, iPhones मौलिक रूप से अलग-अलग हैं क्योंकि वे पूरी तरह से बंद प्लेटफॉर्म हैं। लेकिन, एक ही समय में, आप वास्तव में प्रयोज्य और भयावह असफलताओं से उबरने की क्षमता का त्याग करते हैं। GRUB (जब विशेष रूप से डिज़ाइन किया गया है) को छोड़कर किसी सुरक्षा प्रणाली में एक श्रृंखला नहीं है। वास्तव में, अधिकांश लिनक्स सिस्टमों में उनकी सुरक्षा श्रृंखलाएं बूट के बाद शुरू होती हैं, इसलिए GRUB के समाप्त होने के बाद अपनी बात करते हैं।

इसके अलावा, iPhones में क्रिप्टोग्राफ़िक हस्ताक्षर प्रवर्तन (नीचे चर्चा भी की गई है), जो कि वैध रास्तों के माध्यम से मैलवेयर को आपके फ़ोन पर चुपके करने के लिए बहुत कठिन बनाता है।

लेकिन TPM / SmartCards / [यहां क्रिप्टो तकनीक डालें] का क्या?

ठीक है, अब आप भौतिक सुरक्षा को समीकरण में बाँध रहे हैं, यह अभी भी जटिल है। लेकिन, यह वास्तव में एक समाधान नहीं है क्योंकि TPM अपेक्षाकृत कमजोर हैं और सभी एन्क्रिप्शन ऑन-चिप नहीं होते हैं। यदि आपका टीपीएम (किसी तरह) काफी मजबूत है, जहां यह चिप पर एन्क्रिप्शन करता है (कुछ बहुत ही फैंसी हार्ड ड्राइव में ऐसा कुछ है), तो कुंजी कभी भी प्रकट नहीं होगी और कोल्ड-बूट हमलों जैसी चीजें असंभव हैं। हालाँकि, चाबियाँ (या कच्चे डेटा) अभी भी सिस्टम बस में मौजूद हो सकती हैं, जिसका अर्थ है कि उन्हें इंटरसेप्ट किया जा सकता है।

फिर भी, मेरे हार्डवेयर keylogger अभी भी अपना पासवर्ड प्राप्त कर सकते हैं, और मैं आसानी से आपके मशीन पर कुछ मैलवेयर लोड कर सकता हूं जो पहले उल्लेख किया गया फ़ायरफ़ॉक्स का फायदा है। मुझे बस एक घंटे के लिए अपना घर / कंप्यूटर छोड़ने की जरूरत है।

अब, यदि आप अपना टीपीएम / स्मार्टकार्ड / जो कुछ भी आपके साथ लेते हैं, और सभी एन्क्रिप्शन वास्तव में चिप पर किया जाता है (जिसका अर्थ है कि आपकी कुंजी रैम में संग्रहीत नहीं है), तो मेरे लिए इसमें प्रवेश करना व्यावहारिक रूप से बहुत असंभव है जब तक आप (उपयोगकर्ता) फिसल जाते हैं और कुछ भूल जाते हैं। यही है, जब तक कि मुझे सिस्टम बस से (अनएन्क्रिप्टेड) ​​कुंजी को पढ़ने का कोई तरीका नहीं मिलता है।

लेकिन क्या होगा अगर मेरे पास मेरे सभी कार्यक्रमों पर क्रिप्टोग्राफ़िक / डिजिटल हस्ताक्षर प्रवर्तन का कोई रूप है, यह सुनिश्चित करने के लिए कि वे वैध हैं?

जैसा कि विभिन्न स्मार्टफोन कंपनियों द्वारा प्रदर्शित किया गया है, यह सुरक्षा से निपटने का एक बहुत अच्छा तरीका है। आपने अब नापाक काम करने के लिए अपनी मशीन पर कुछ कोड इंजेक्ट करने की मेरी क्षमता को शून्य कर दिया है, जो कि एक प्लस है। प्रभावी रूप से, आपने दूरस्थ रूप से आपकी मशीन तक लगातार पहुंच बनाए रखने की मेरी क्षमता को अक्षम कर दिया है, जो एक बहुत बड़ा धन है।

हालाँकि, यह अभी भी एक आदर्श तरीका नहीं है! डिजिटल हस्ताक्षर प्रवर्तन एक के लिए एक हार्डवेयर keylogger बंद नहीं करेगा। इसे पूरी तरह से बग-मुक्त करने की आवश्यकता है, जिसका अर्थ है कि मुझे कोई ऐसा तरीका नहीं मिल सकता है जिससे मैं अपने मशीन के सर्टिफिकेट स्टोर में अपना प्रमाण पत्र लोड कर सकूं। इसके अलावा, इसका मतलब है कि आपके सिस्टम के प्रत्येक निष्पादन योग्य पर हस्ताक्षर किए जाने की आवश्यकता है । जब तक आप मैन्युअल रूप से नहीं जाना चाहते हैं और यह सब करते हैं, तब तक Apt पैकेज और उस तरह से खोजने के लिए बहुत मुश्किल होने वाला है जैसे कि हर चीज पर डिजिटल हस्ताक्षर हैं। इसी तरह की नस में, यह अहस्ताक्षरित निष्पादक के लिए वैध उपयोग को अवरुद्ध करता है, अर्थात् पुनर्प्राप्ति। क्या होगा अगर आप कुछ महत्वपूर्ण तोड़ते हैं, और आपके पास इसे ठीक करने के लिए (हस्ताक्षरित) निष्पादन योग्य नहीं है? ठीक है, वहाँ आपका सिस्टम जाता है।

किसी भी तरह से, लिनक्स पर ऐसा करने का प्रयास मूल रूप से सभी को छोड़ दिया गया है और अब नई गुठली के लिए काम नहीं करता है, इसलिए आपको अपना खुद का निर्माण करना होगा।

तो, आपको मेरे कंप्यूटर से बाहर रखना असंभव है?

प्रभावी रूप से, हाँ, क्षमा करें। यदि मेरे पास भौतिक पहुंच और पर्याप्त प्रेरणा है, तो हमेशा एक सिस्टम में आना संभव है। कोई अपवाद नहीं।

वास्तविकता में, हालांकि, अधिकांश दुष्ट लोग केवल कुछ बिल्ली के चित्रों के लिए यह दूर जाने की कोशिश नहीं करेंगे। आमतौर पर, केवल फुल-डिस्क एन्क्रिप्शन (या यहां तक ​​कि सिर्फ लिनक्स चल रहा है!) ज्यादातर स्क्रिप्ट किडिज़ को उनकी दो सेकंड की प्रसिद्धि से बचाने के लिए पर्याप्त है।

TL; DR: बस उन लोगों को न दें जिन्हें आप अपने कंप्यूटर के पास भरोसा नहीं करते हैं। यह आमतौर पर काफी अच्छा है।

यदि आप चाहते हैं कि यह बंधे एक पासवर्ड का उपयोग करें । लिंक से:

GRUB 2 पासवर्ड सुरक्षा नोट्स

ग्रब 2 पर पासवर्ड आवश्यकताएं स्थापित कर सकते हैं:

• सभी मेनू
• विशिष्ट मेनू
• विशिष्ट उपयोगकर्ताओं के लिए: उदाहरण के लिए, उपयोगकर्ता "जेन" उबंटू तक पहुंच सकता है, लेकिन विंडोज रिकवरी मोड नहीं, जो केवल "जॉन", सुपरसुसर द्वारा सुलभ है।

• व्यवस्थापक को GRUB 2 सिस्टम फ़ाइलों को संपादित करके पासवर्ड सुरक्षा को मैन्युअल रूप से सक्षम करना चाहिए।

• उपयोगकर्ता और पासवर्ड को /etc/grub.d/00_headerदूसरे GRUB 2 स्क्रिप्ट फ़ाइल में पहचाना जाना चाहिए ।

• जब तक सभी मेन्यूएंट्री का सार्वभौमिक संरक्षण वांछित नहीं है, विशिष्ट प्रविष्टियों की पहचान की जानी चाहिए:

  • मैन्युअल रूप से ग्रब 2 /etc/grub.d/स्क्रिप्ट्स जैसे 10_linuxऔर को एडिट करके30_os-prober

  • मैन्युअल रूप से उपयोगकर्ता द्वारा बनाई गई कस्टम कॉन्फ़िगरेशन फ़ाइल को संपादित करके।

  • जब भी अपडेट-ग्रब निष्पादित किया जाता है, तो उपरोक्त विधियों में से कोई भी विधि GRUB 2 को कॉन्फ़िगरेशन फ़ाइल (grub.cfg) में पासवर्ड की आवश्यकता को स्वचालित रूप से जोड़ने में सक्षम बनाता है।

  • संपादन द्वारा मैन्युअल रूप से /boot/grub/grub.cfg। जब update-grubरन किया जाएगा और पासवर्ड सुरक्षा खो जाएगी, तो इस फ़ाइल के संपादन हटा दिए जाएंगे।

• यदि GRUB 2 पासवर्ड सुरक्षा के किसी भी रूप को सक्षम किया गया है, तो सुपरबर्स के नाम और पासवर्ड को GRUB 2 कमांड लाइन और मेनू-संपादन मोड तक पहुंच प्राप्त करने की आवश्यकता है।

• उपयोगकर्ता नाम और / या पासवर्ड उबंटू लॉगऑन नाम / पासवर्ड के समान नहीं होना चाहिए।
• जब तक GRUB 2 के पासवर्ड एन्क्रिप्शन सुविधा का उपयोग नहीं किया जाता है, पासवर्ड को पठनीय फ़ाइल में सादे पाठ के रूप में संग्रहीत किया जाता है। इस सुविधा का उपयोग करने पर मार्गदर्शन के लिए पासवर्ड एन्क्रिप्शन अनुभाग देखें।

डिफ़ॉल्ट रूप से (!) इस मामले में प्रयोज्य सुरक्षा को ट्रम्प करता है। यदि आप उन लोगों पर भरोसा नहीं कर सकते हैं जो आपके आसपास हैं तो हर समय मशीन को अपने साथ रखें। जिन लोगों को अधिक सुरक्षा की आवश्यकता होती है, वे पासवर्ड की आवश्यकता को पूरा करने के लिए अपने पूरे सिस्टम को एन्क्रिप्ट करते हैं।

आपका जानबूझकर हैक इसके साथ शुरू होता है:

1. जब grub2 मेनू लाइन स्टार्ट विकल्प को संपादित करने के लिए 'e' दबाता है

लेकिन आप पासवर्ड की रक्षा कर सकते हैं eजैसा कि यहां चर्चा की गई है: बूट विकल्प संपादित करते समय ओएस लोड प्रक्रिया में GRUB पासवर्ड सुरक्षा कैसे जोड़ें

आप लिंक में चर्चा के रूप में ग्रब पासवर्ड एन्क्रिप्ट करने का अतिरिक्त कदम उठा सकते हैं। वास्तव में घर पर लिनक्स / उबंटू का उपयोग करते हुए शायद 3% आबादी (जंगली अनुमान) के साथ यह सिस्टम प्रशासकों के लिए एक अच्छा विचार है कि वे eकाम पर उत्पादन प्रणालियों के कार्य से रक्षा कर सकें। मैं कल्पना करता हूं कि अगर उबंटू का इस्तेमाल काम में किया जाता है तो 30 से 40% लोग घर पर भी इसका इस्तेमाल कर रहे होंगे और शायद 10% लोग सीख रहे होंगे कि eअपने घर के सिस्टम को कैसे करना है ।

आपके प्रश्न के लिए धन्यवाद, उन्होंने अभी और सीखा है। हालांकि उपरोक्त लिंक के साथ, सिस्टम प्रशासक के पास उत्पादन वातावरण की सुरक्षा के लिए उनकी टू-डू सूची पर एक और कार्य है।

ग्रब को सुरक्षित बनाने के लिए आपको इसकी पहुँच सुरक्षित रखने की आवश्यकता है। यह बस एक हार्ड डिस्क पासवर्ड के साथ किया जा सकता है, और मैं यहां डिस्क सुरक्षा के बारे में बात कर रहा हूं जहां यह डिस्क के फर्मवेयर में ही संग्रहीत है। डिस्क को पढ़ा या लिखा नहीं जा सकता। इसलिए न केवल पासवर्ड के बिना दुर्गम है, आपका डेटा भी है।

जैसा कि पासवर्ड डिस्क पर ही संग्रहीत है, इसे किसी अन्य सिस्टम में स्थानांतरित करने से हैकर को मदद नहीं मिलेगी।

आस-पास सॉफ्टवेयर है जो कुछ निर्माता के डिस्क से पासवर्ड निकाल सकता है, लेकिन यह डिस्क को प्रभावी ढंग से मिटा भी देता है। तो आपका डेटा अभी भी सुरक्षित है।