.png)
여러 사용자에게 Linux 장치를 제공할 계획입니다. 이러한 사용자는 기술에 능숙하며 표준 Linux 시스템에서 루트 비밀번호를 쉽게 재설정할 수 있습니다.
일단 보호되면 루트 사용자도 파일 시스템에 진입하지 못하게 하는 실행 중인 Linux 시스템을 만드는 방법은 무엇입니까? (LUKS와 같은 디스크 암호화를 조사했지만 모든 경우 루트가 자동 마운트된 파티션에 액세스할 수 있었습니다.)
이 문제를 어떻게 해결할 수 있나요? 다음과 같은 스택 교환 질문이것공격자가 루트 액세스 권한이 없다고 가정하면 단일 사용자/복구 모드로 부팅하여 루트 비밀번호를 재설정하는 것이 간단해 보입니다.
LUKS에 대해 읽었지만 FDE에서는 키 파일을 initramfs에 롤백해야 합니다(그림 참조).여기) 하지만 initramfs를 쉽게 확장하고 키를 추출할 수 있다고 생각합니다. 그래서 나는 이것이 문제를 해결한다고 생각하지 않습니다
답변1
아니요아니요루트 비밀번호는 전체 디스크 암호화(FDE)를 사용하는 PC에서 재설정할 수 있습니다.
추가한 답변에 링크된 튜토리얼에서는 일부 비시스템 드라이브를 자동으로 마운트하는 방법을 설명합니다. FDE를 사용 /하면 /root/keyfile.
편의를 위해 암호화되지 않은 파티션(예를 들어)의 시스템 파티션에 키 파일을 넣으면 /boot친구가 파일을 읽을 수 있으므로 그렇게 하지 마십시오.
읽다:
귀하의 의견에 추가된 사항과 관련하여:
"사용자 개입 없이 장치가 시작되고 실행됩니다.":
신뢰할 수 없는 사용자가 컴퓨터를 시작하는 것을 허용하지 마십시오. 사용자가 암호화된 하드 드라이브에서 부팅할 수 있는 경우 암호를 알고 있거나 암호화에 사용되는 암호화되지 않은 키 파일을 갖고 있으면 컴퓨터에 원하는 모든 작업을 수행할 수 있습니다.
컴퓨터 전원을 켜두거나 신뢰할 수 있는 사용자에게 부팅을 허용하십시오.
답변2
답을 찾았습니다. LUKS를 사용하여 전체 디스크를 암호화한 다음 시스템 TPM에 키를 저장합니다. 이렇게 하면 전체 디스크가 암호화되고 최종 사용자는 TPM에서 키를 추출할 수 없습니다... 매우 안전합니다.