![Ubuntu Elementary OS Freya에 대한 USB 암호화 로그인 [닫기]](https://linux55.com/image/102786/Ubuntu%20Elementary%20OS%20Freya%EC%97%90%20%EB%8C%80%ED%95%9C%20USB%20%EC%95%94%ED%98%B8%ED%99%94%20%EB%A1%9C%EA%B7%B8%EC%9D%B8%20%5B%EB%8B%AB%EA%B8%B0%5D.png)
저는 웹 개발자이고 서버와 스크립팅 언어에 대해 많이 알고 있지만 Bash와 Linux에 대해서는 (비교적으로) 아는 것이 거의 없습니다.
내가 아는 바로는 사용자가 USB 키를 연결하면 컴퓨터에 로그인을 허용할 수 있다고 합니다. 불행히도 나는 그것을 할 수 없었다이것내 컴퓨터에서 작업하면서 누군가 내 비밀번호를 우회할 수 있는지 궁금해지기 시작했습니다.이것기사)
눈에 띄지 않게 유지하고 싶은 매우 수익성이 높은 프로그램이 있는데, 특정 USB를 연결하지 않고도 내 컴퓨터에 DDoS 공격을 수행할 수 있는 방법이 있는지 궁금합니다. 사용자가 내 노트북에서 어떤 작업도 수행할 수 없도록 하고 싶습니다. 누구든지 몇 가지 제안이 있다면. 나는 매우 감사할 것이다.
답변1
누군가가 귀하의 컴퓨터에 물리적으로 접근할 수 있는 경우 대체 미디어에서 부팅하여 원하는 코드를 실행할 수 있습니다. 또는 잠긴 경우 하드 드라이브를 제거하고 컴퓨터에 연결할 수 있습니다.
사람들이 귀하의 컴퓨터에 액세스할 수 있는 경우 컴퓨터에서 코드를 실행하는 것을 막을 수는 없지만 암호화를 통해 귀하의 데이터에 액세스하는 것을 방지할 수 있습니다. 그런 다음 컴퓨터에 액세스하면 암호화된 데이터만 볼 수 있으며 암호화 키를 얻지 않으면 해독할 수 없습니다.
Linux를 처음 사용하는 경우 배포판을 다시 설치하고 설치 프로세스 중에 "전체 디스크 암호화"(또는 유사한 이름)를 선택하는 것이 좋습니다. 기본 운영 체제를 포함한 대부분의 배포판은 이러한 가능성을 제공합니다. 설치를 암호화로 변환하는 것이 가능하지만 이는 상당히 진보된 기술이며 실수로 데이터를 삭제할 위험이 높습니다. 따라서 백업이 최신인지 확인하고 다시 설치하세요.
암호화를 설정하는 쉬운 방법은 비밀번호를 사용하는 것입니다. 비밀번호의 단점은 보안을 위해 충분히 무작위여야 하며 충분히 무작위인 비밀번호는 기억하기 어렵다는 것입니다. 충분히 무작위적이지 않은 비밀번호는 추측될 수 있습니다. ㅏ좋은 타협이다무작위로여러 단어로 구성된 비밀번호를 생성합니다(예:구두점에 대한 일반적인 l33tspe4k+나쁜 조언보다 훨씬 낫습니다.).
Linux용 디스크 암호화 시스템(DM 비밀번호)은 "키 파일"의 사용도 지원합니다. 키 파일은 본질적으로 비밀번호이지만 키보드로 입력하는 대신 파일에서 읽습니다. 키 파일의 장점은 추측이 불가능한 길고 임의의 쓰레기일 수 있다는 것입니다(하지만 기억하는 것은 불가능하므로 스마트 카드나 USB 키에 저장합니다). 내가 아는 한, 일반 배포판은 완전한 설정 방법을 제공하지 않으므로 수동으로 설정을 실행해야 합니다. 바라보다파티션을 자동으로 해독하도록 LVM 및 LUKS를 구성하는 방법은 무엇입니까?또는USB에서 LUKS 비밀번호를 로드한 다음 키보드로 돌아가는 방법은 무엇입니까?지침을 위해.
처음에 생성한 기억하기 쉬운 암호로 디스크 잠금을 해제하지 않으려면 기억할 수 없지만 입력할 수 있는 길고 무작위의 암호를 또 다른 암호 해독 키로 추가하세요( cryptsetup luksAddKey /dev/sda2 'the long random non-memorable but typable password'). 길고 무작위이며 기억하기 어렵지만 입력할 수 있는 비밀번호를 인쇄하여 금고에 보관하세요. 작동하는지 테스트한 다음 처음에 생성한 기억하기 쉬운 비밀번호를 삭제하십시오( cryptsetup luksRemoveKey).
로그인한 경우 USB 키를 사용하여 디스플레이를 잠금 해제하는 방법에 차이가 있습니다. 이 시점에서 디스크 암호화 키는 여전히 메모리에 있으므로 사용자가 해야 할 일은 해당 키를 사용할 권한이 있음을 컴퓨터에 증명하는 것뿐입니다. 이 목적을 위해 더 짧은(그러나 완전히 사소하지는 않은) 암호는 괜찮습니다. 왜냐하면 공격자가 해당 암호를 사용하려고 시도하면 컴퓨터가 시도를 승인할 수 있는 속도에 따라 제한되기 때문입니다. 이는 전용 하드웨어에서 오프라인으로 동시에 수행할 수 있는 키 암호 해독 시도와 달리 온라인 공격입니다.
여전히 USB 키를 사용하여 컴퓨터 잠금을 해제하려는 경우 링크된 블로그 게시물이 합리적인 접근 방식인 것 같습니다(아직 모든 명령을 자세히 확인하지 않았습니다). 작동하도록 할 수 없다면 이 사이트에서 더 정확한 질문을 하는 것이 좋습니다. 무엇을 했습니까(명령을 복사하여 붙여넣기)? 정확한 동작은 무엇입니까(모든 메시지 복사 붙여넣기)?
귀하의 시스템은 여전히 더 발전된 공격에 취약합니다. 암호화로는 방지할 수 없음사악한 하녀 공격. 이렇게 하려면 보안 부팅을 설정해야 합니다. 암호화 소프트웨어의 기본적인 사용으로는 이를 방지할 수 없습니다.콜드 스타트 공격, 공격자는 라이브 시스템에서 RAM 스틱을 획득하고 내부 어딘가에 아직 남아 있는 암호화 키를 읽으려고 합니다. 가지다리눅스 커널 패치키를 RAM에 저장하지 않으려면(CPU 레지스터에만 저장되며 실제로 물리적으로 추출할 수 없음)