비밀번호를 모르면 누구도 2FA 자격 증명 등을 삭제/편집할 수 없도록 하고 싶습니다.
안전하게 비밀번호로 보호할 수 있나요? 아니면 그러한 결과를 얻을 수 있는 다른 방법이 있습니까?
나는 내가 생각한 것을 정확하게 설명했다. /etc/pam.d/common-auth 파일이 포함된 폴더 - Linux에 2FA 코드가 필요하다는 정보를 제공합니다. 시스템에서 모든 작업을 수행하려면 루트 로그인이나 sudo 명령과 같은 코드를 작성해야 합니다.
문제는 복구 모드에서 문제가 되지 않는 이 항목을 제거하여 2FA를 비활성화할 수 있다는 것입니다. 즉, 2FA 코드 없이 이를 비활성화할 수 있다면 원칙적으로 2FA는 의미가 없습니다.
나와 비슷한 주제가 있습니다(그러나 U2F와 관련됨). 하지만 저자는 U2F 충돌에 실패하면 시스템에 대한 접근권을 잃게 될까 봐 걱정한다. 왜 구조 모드 같은 간단한 해결책으로 작성된 답변이 없습니까? 조금 이상하다https://askubuntu.com/questions/1167691/passwordless-login-with-yubikey-5-nfc/But
실제로 많은 답변이 있었고 모두가 시스템에 대한 액세스 권한을 잃을 수 있다고 경고했습니다. 그럼 다시 물어보겠습니다. 2FA를 어떠한 방식으로도 취소할 수 없도록 설정하는 것이 가능합니까(예: 복구 모드에서 범용 인증 파일을 편집합니까?)
답변1
Linux의 모든 파일이나 디렉토리는 비밀번호로 보호될 수 있습니다 * . 그러나 프로세스는 파일에 액세스해야 하며, 인증 서비스에서 사용하는 기본 프로세스는 비밀번호를 제공할 수 없습니다.
모든 최신 시스템에서는 비밀번호가 암호화됩니다. 모든 암호화는 깨질 수 있지만 이는 매우 긴 프로세스이며 성공 여부는 주로 암호 자체의 복잡성에 따라 달라집니다. 예를 들어, Linux 루트 비밀번호를 크래킹하는 경우 일반적으로 최소한 sudoer 비밀번호가 필요한 파일 및 디렉터리에 대한 액세스 권한을 먼저 얻어야 합니다.
Linux에는 루트킷이 거의 없습니다. 모든 보안 체인에서 가장 약한 링크는 항상 인적 요소이므로 루트 비밀번호는 복잡하고 잘 보호되어야 합니다. 복구 모드로 부팅하여 보안 조치가 우회되는 것을 방지하려면 시스템에 대한 물리적 액세스를 제한해야 합니다.
보안은 항상 고양이와 쥐 게임이며 보안은 항상 한 단계 뒤쳐져 있습니다. 시스템을 강화하려면 먼저 새로운 위협이 등장해야 합니다. 궁극적으로, 완벽하게 깨지지 않는 보안이란 없으며, 보안을 깨뜨림으로써 얻을 수 있는 이점이 노력할만한 가치가 있는 수준뿐입니다. 이는 일반적으로 정부, 군대 또는 주요 글로벌 기업이나 기관을 의미합니다.
* 원천:
- Linux에서 폴더를 비밀번호로 보호하는 방법(2023년 1월 10일 FOSS입니다.)
- 파일과 폴더를 보호하세요(리눅스 팁 2022)
- Linux에서 파일을 비밀번호로 보호하는 방법(길예르모 갈렌, 2020년 9월 5일)
- GnuPG를 사용하여 Linux에서 파일을 비밀번호로 보호하는 방법은 무엇입니까?(기기용 Linux, 2021년 4월 25일)
- 다른 사람