Ищу способ защитить систему от сброса пароля

1. Поставить пароль на биос.
2. Поставить пароль на grub.
3. chattr +i /etc/shadow - нубов остановит.

TPM + шифрование + пароль на бмос + пароль на загрузчик.

именно сделать похожие методы невозможными или очень сложными.

Шантаж, запугивание(с угрозой на физичискую расправу). Спрячь клавиатуру в конце концов.

Вынимай и носи с собой и прячь диск.

при возможности физического доступа посторонними к машине - только полнодисковое шифрование.

Пароль bios сбрасывается на раз-два снятием батарейки. Пароли пользователей - даже без флешки - в параметрах grub init=/bin/bash

ТС писал:

«Пароль на биос влепил. Он перманентный и не стирается даже при снятии батарейки.»

Наверное, у него UEFI.

Пароль bios сбрасывается на раз-два снятием батарейки.

Кто-то не умеет читать :)

Пароль на биос влепил. Он перманентный и не стирается даже при снятии батарейки.

не стирается.

Угу. И не сбрасывается. А при забытии пароля устройство окирпичивается и хард забивается нулями. Ну-ну. /s

Уверен на 99% что ТС просто вытащил батарейку и вставил обратно через секунду, а замкнуть контакты гнезда батарейки не удосужился.

Угроза? Защита от домочадцев.

Сделать /etc/shadow ридонли?

Не знаю как у вас, но на UEFI Asus (ноуты) пароль пишется в мульт или хз куда (зависит от ревизии вроде) и хранится в енергонезависимой памяти.

Даже видео где-то видел на этот счет: https://youtube.com/watch?v=IQxgNPwSDeI

В таких случаях только программатор. И то не факт что поможет.

И что это изменит в случае ТС?

Почитайте статьи с поста. Там во второй статье сказано как через загрузчик скинуть.

По идее пароль на GRUB, но это сложная процедура. Если ламер лучше не лезть. В два клика не выйдет.

о да, видосики шепелявых недоблогеров-недоремонтников. Если ничего не получается - паяй микруху. Если не получилось - повторить.

Пароль на биос, пароль на диск, пароль на загрузчик.

luks умеет шифровать существующую ext4

Пароль на биос влепил. Он перманентный и не стирается даже при снятии батарейки.

Конечно, автор не в курсе про вшитые производителем пароли, которые можно найти на соответствующих ресурсах.

Вся надежда, что для твоего оборудования пока не слили такие пароли.

Сам так обходил свой забытый пароль от ноутбука, который большую часть времени лежал в шкафу. Батарейка в нём впаянная, разбирать и отпаивать её лень было, поэтому пришлось половину интернета прошерстить на предмет вшитого пароля. На удивление нашел быстро.

Нет перемычки для сброса перманентного пароля?

Жесткий диск из компьютера выдирается за пару минут. И вставляется другой компьютер или юсбишный переходник за 200р подключается к планшету или телефону.

Причем диск выдрать даже проще, чем батарейку.

Ну и если опасаться близких, то я бы добавил ежедневный ритуал проверки комнаты на наличие скрытых камер, через которые можно подсмотреть пароль. Если уж падать в бездну паранойи, так основательно.

скрытых камер

Ну, дак можно и микрофоном звуки клавиш распознавать и по э/м излучению. Если у тебя папа хакер-партизан, лучше не ставить пароль на биос.

Вспомни себя в детстве и прикинь ежель твой папаня тебе палки вставлял в колёса. Бекап сделай и, если дети продвинутые, что могут сбросить пароль в лине, купи им свой ноут. Надо поощрять ынтерес, а не создавать проблему на пустом месте.

Жесткий диск из компьютера выдирается за пару минут.

шифрование и ключи LUKS на флешке, которую носишь с собой.

на наличие скрытых камер, через которые можно подсмотреть пароль.

использовать не только пароль, но и смарт-карту и т.п.
А камеру надо ставить свою - аудит доступа тоже важен.

100 процентный вариант только шифрование диска. Иначе диск можно вынуть и получить доступ к данным.

По минимуму: пароль на биос, отключение загрузочного меню, пароль на груб, запрет редактирования вариантов загрузки.

От снятия диска защита не будет.

Если тc не хочет много возиться с возвратом пароля то упростит жизнь, если боится, что у него с диска данные вынут, то без шифрования он всё равно не сможет.

Шифрование диска не 100% вариант. initrd тривиально модифицируется и записывает введённый пароль в /boot/.password. К шифрованию диска нужен ещё secure boot со своими ключами и использование TPM для детекта того, что initrd изменился. Вообще защищаться от коварных и умелых домочадцев очень сложно. Физический доступ к оборудованию даёт очень много, вплоть до кейлоггера на проводе от клавиатуры.

Что же там за информация такая и что за домочадцы? У меня обратные мысли, типа, а как бы так сохранить все доступы, что если я случайно кони двину неожиданно, чтобы близкие смогли получить все мои доступы.

А по теме, зашифруй один раздел, куда положишь чувствительные данные, а на остальное как-то пофиг должно быть, пусть доступ получают. Только «ниточку повяжи», чтобы сразу увидеть, если кто-то доступ получил и настучать по рогам.

Если он перезапишет /boot/.password или конфиг grub - ничего страшного.

Корневая файловая система шифрованная и пока ты не откроешь шифрованный контейнер вводом ключа шифрования или подключая флешку с ключом на неё ты не попадёшь.

Но при таком варианте при каждом включении системы нужно будет вводить ключ шифрования от контейнера корневой файловой системы.

Вообще защищаться от коварных и умелых домочадцев очень сложно. Физический доступ к оборудованию даёт очень много, вплоть до кейлоггера на проводе от клавиатуры.

Беги оттуда или выселяй, если у тебя такие проблемы в семье.

Если он перезапишет /boot/.password или конфиг grub - ничего страшного.

В смысле ничего страшного? Тебе подменили initrd. Ты ввёл пароль от диска при загрузке, этот пароль сохранился в файле. Ты ушёл из дома, систему загрузили с Live CD и увидели твой пароль.

Носи /boot на флешке.

При возможности физического доступа посторонними к машине:

1. Выпаять чип где хранится биос, вывести на корпус коннектор
2. Купить FPGA и эмулировать эту самую флешку
3. Систему собрать используя принцип USI (https://overhead.neocities.org/blog/build-usi-mkosi/) и жить в оперативке

Тот же FPGA помимо эмуляции чипа биоса, будет тебе и прикидываться CD, DVD приводом куда эта USI система монтируется

Само устройство на базе FPGA будет размером с Siemens m65 ;)

Вариантов других нету, если они у вас есть, то вас уже поимели и вашу жену и дети уже не от вас и завтра прийдут вас выселять ;D

От снятия диска защита не будет.

Вроде же сегодня есть широкий выбор прекрасного железа с распаянными NVMe SSD

в общем кто привык в маня мирке с розовыми пони жить, то ставьте шифрование и так далее и слушайте местных клоунов)))

А если есть потребность в защите своего железа, то просто не оставляйте шансов)))

Пришел такой горе атакующий и думает ах у меня новый буткит сейчас я dxe заряжу ему и он не сном не духом, приходит а там даже флешки биоса нет))))))))))))

Шифрование диска не 100% вариант. initrd тривиально модифицируется и записывает введённый пароль в /boot/.password.

Достаточно просто зашифровать boot-раздел и до initrd, без знания пароля, не доберутся.

на биос ставят пароль и все.

P.S. еще. обвяжи корпус цепочкой и повесь замок. цепь привари к несущей конструкции дома.

«Фантомас против домочадцев», картина века)

Угроза? Защита от домочадцев.

Хренассе у тебя домочадцы.

а если дом унесут?

страшно даже подумать какие у него взломщики...

Ну домочадцы разные бывают (новая девушка) Могут так же легко открыть твою дверь, перед этим выключив свет и накинуть буткит тебе

Точно-точно. А потом протянет синюю таблетку, и закричит, тряся за плечо «Prosnis', Neo, you obosralsya!». Есть кулстори? Ябпачетал.

У меня вот звали «мастера» чтобы посмотреть что я там на компьютере «прячу» :(

И как успехи, сколько хентая нашли?

Проще грузиться по сети с флешки, которую с собой носить. Аппаратный ключ шифрования. Сканер отпечатков пальцев. Можно еще заварить корпус и влепить беспроводное включение, чтобы кнопкой включить было нельзя.

В каких тоталитарных сектах вы живёте.

Мы не нейросети, чтобы придумывать тебе кучу глупых способов, когла ты отмёл главный.

Иди шифруй, если тебе нужно, чтобы твои «домочадцы» не смогли попасть за пк. Научись переносить данные на шифрованный раздел, чтобы не нужно было ничего переустанавливать.

Другое дело, что если у тебя такие «домочадцы», что даже могут сбросить биос, то тебе от них и обычное шифрование не поможет. Воткнут тебе аппаратный кейлогер в клавиатуру или сделают руткит в неподписанное ядро и тд.

На леновах, например, этот фокус не прокатывает. Хоть ты обосрись, а пароль не сбросится. Причём он хранится не в BIOS/UEFI, так что можешь хоть прошивать, хоть чип менять — фиолетово.

«Мастер» не сдюжил с убунтой :)

Пока все вокруг чайники, лоли в безопасности. Но лучше всегда подстраховаться шифрованием и стеганографией.

Без шифрования никак. Всегда можно вытащить жёсткий диск, воткнуть в другой компьютер и скопировать любые файлы. И не поможет ни пароль на BIOS, никакая конфигурация системы. Также можно отредактировать пароль в /etc/shadow, вернуть диск на место и зайти с новым паролем.

Шифруй диск. Или выгоняй ненадежных людей из дома и меняй замки.

Вытащить диск, вставить в другой компьютер (можно через переходник usb-sata в ноут, можно в ноут друга), сделать дело, вернуть на место.

Угроза? Защита от домочадцев.

Лучше быть
Одному всю жизнь
Чем найти свой дом
И жить в нём с кем попало!