Comment puis-je empêcher quelqu'un de réinitialiser mon mot de passe avec un Live CD?

Un moyen rapide et facile de faire cela consiste à désactiver le démarrage à partir de CD et de clés USB de votre BIOS et à définir un mot de passe pour le BIOS.

Selon ceci page wiki :

Le placement de mots de passe ou d'éléments de menu verrouillés (dans les fichiers de configuration Grub) n'empêche pas un utilisateur de démarrer manuellement à l'aide de commandes entrées à l'aide de la ligne de commande grub.

Cependant, rien n'empêche quelqu'un de voler votre disque dur et de le monter sur une autre machine, ou de réinitialiser votre BIOS en retirant la batterie ou l'une des autres méthodes qu'un attaquant peut utiliser lorsqu'il a un accès physique à votre machine.

Un meilleur moyen serait de chiffrer votre lecteur. Vous pouvez le faire en chiffrant votre répertoire personnel ou en chiffrant l'intégralité du disque:

• Comment chiffrer ma partition d'origine?
• https://help.ubuntu.com/community/FullDiskEncryptionHowto

Tenez-vous à côté de votre ordinateur tout en tenant une batte de tee-ball. Battez sévèrement quiconque se rapproche.

Ou le verrouiller.

Si votre ordinateur est physiquement accessible, il est dangereux.

D'abord l'avertissement ...

La procédure de protection par mot de passe grub2 peut être assez délicate et si vous vous trompez, il est possible que vous vous laissiez avec un système qui ne démarre pas. Ainsi toujours effectuez d’abord une sauvegarde complète de votre disque dur. Ma recommandation serait d'utiliser Clonezilla - un autre outil de sauvegarde tel que PartImage pourrait également être utilisé.

Si vous voulez vous y exercer, utilisez un invité d'ordinateur virtuel sur lequel vous pouvez restaurer un instantané.

commençons

La procédure ci-dessous protège les modifications non autorisées des paramètres Grub lors du démarrage - c’est-à-dire que vous appuyez sur e Editer vous permet de changer les options de démarrage. Vous pouvez par exemple forcer le démarrage en mode mono-utilisateur et avoir ainsi accès à votre disque dur.

Cette procédure doit être utilisée conjointement avec le chiffrement du disque dur et une option de démarrage sécurisé du bios pour empêcher le démarrage à partir d'un cd en direct, comme décrit dans la réponse associée à cette question.

presque tout ce qui se trouve en dessous peut être copié et collé ligne par ligne.

Commençons par sauvegarder les fichiers grub que nous allons éditer - ouvrez une session de terminal:

Sudo mkdir /etc/grub.d_backup
Sudo cp /etc/grub.d/* /etc/grub.d_backup

Permet de créer un nom d'utilisateur pour grub:

gksudo gedit /etc/grub.d/00_header &

Faites défiler vers le bas, ajoutez une nouvelle ligne vide, copiez et collez les éléments suivants:

cat << EOF
set superusers="myusername"
password myusername xxxx
password recovery 1234
EOF

Dans cet exemple, deux noms d'utilisateur ont été créés: myusername et recovery

Suivant - retournez au terminal (ne fermez pas gedit):

Utilisateurs Natty et Oneiric uniquement

Générez un mot de passe crypté en tapant

grub-mkpasswd-pbkdf2

Entrez votre mot de passe que vous utiliserez deux fois lorsque vous y êtes invité

Your PBKDF2 is grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

Le bit qui nous intéresse commence par grub.pbkdf2... et se termine par BBE2646

Mettez cette section en surbrillance avec votre souris, faites un clic droit et copiez-le.

Revenez à votre application gedit - mettez en surbrillance le texte "xxxx" et remplacez-le par ce que vous avez copié (clic droit et coller)

c'est-à-dire que la ligne devrait ressembler à

password myusername grub.pbkdf2.sha512.10000.D42BA2DB6CF3418C413373CD2D6B9A91AE4C0EB4E6AA20F89DFA027CA6E6CBF3542CB39E951607E9D651D82700AF47884929BDD193E36CB262CC96201B5789AA.1A9B0033928E3D3D0338583A5BF13AF7D5CC6EC5A41456F8FE8D8EBEB7A093CD0A0CE8688949E6007188ECB3FB0FF916F258602D130CF5C8525FB318FBBE2646

toutes les versions de Buntu (lucides et supérieures)

Enregistrez et fermez le fichier.

Enfin, vous devez protéger par mot de passe chaque entrée du menu grub (tous les fichiers dont la ligne commence par menuentry ):

cd /etc/grub.d
Sudo sed -i -e '/^menuentry /s/ {/ --users myusername {/' *

Cela ajoutera une nouvelle entrée --users myusername à chaque ligne.

Exécutez update-grub pour régénérer votre grub

Sudo update-grub

Lorsque vous essayez de modifier une entrée grub, il vous demandera votre nom d'utilisateur, à savoir myusername et le mot de passe que vous avez utilisé.

Redémarrez et testez que le nom d'utilisateur et le mot de passe sont appliqués lors de l'édition de toutes les entrées grub.

N.B. n'oubliez pas d'appuyer sur SHIFT lors du démarrage pour afficher votre grub.

Mot de passe protégeant le mode de récupération

Tout ce qui précède peut facilement constituer une solution de contournement en utilisant le mode de récupération.

Heureusement, vous pouvez également forcer un nom d'utilisateur et un mot de passe à utiliser l'entrée de menu en mode récupération. Dans la première partie de cette réponse, nous créons un nom d'utilisateur supplémentaire appelé recovery avec un mot de passe de 1234 . Pour utiliser ce nom d'utilisateur, nous devons éditer le fichier suivant:

gksudo gedit /etc/grub.d/10_linux

changer la ligne de:

printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

À:

if ${recovery} ; then
   printf "menuentry '${title}' --users recovery ${CLASS} {\n" "${os}" "${version}"
else
   printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"
fi 

Lorsque vous utilisez la récupération, utilisez le nom d'utilisateur recovery et le mot de passe 1234 .

Exécutez Sudo update-grub pour régénérer votre fichier grub

Redémarrez et testez le nom d'utilisateur et le mot de passe qui vous sont demandés lorsque vous essayez de démarrer en mode de récupération.

Plus d'informations - http://ubuntuforums.org/showthread.php?t=1369019

Il est important de se rappeler que si une personne a un accès physique à votre machine, elle sera toujours capable de faire certaines choses sur votre PC. Des choses comme verrouiller le boîtier de votre PC et les mots de passe du BIOS n'empêcheront pas une personne déterminée de prendre votre disque dur et vos données.