Как я могу препятствовать тому, чтобы кто-то получил корневой доступ через загрузчик?
Заставить его быть похожим ls, Я использовал бы Bash for цикл:
for i in *; do echo $i; done
Если бы это не работает, я попробовал бы Python ;) :
python -c "import glob; print '\n'.join(glob.glob('/home/*'))"
Необходимо защитить несколько вещей, когда оставляющий любой из них открываются, представляет дверь (это не действительно бэкдор, так как это все хорошо документируется) подобного влияния. (Исключение: если на шаге 1 Вы можете физически безопасный консоль также, то Вы не должны делать ничего больше.)
- Физически безопасный компьютер. Необходимо препятствовать тому, чтобы взломщики разъединили диск от компьютера и подключили его к другому компьютеру, которым они управляют, и от сброса микропрограммного управления доступом.
- Защитите процесс начальной загрузки в BIOS компьютера (или другое встроенное микропрограммное обеспечение начальной загрузки) с паролем (или другая форма управления доступом). Удостоверьтесь, что внутренний жесткий диск является единственным выбранным носителем начальной загрузки, чтобы препятствовать тому, чтобы взломщики загрузились с живого CD, USB или других медиа. Конечно, заблокируйте доступ к BIOS также, так, чтобы взломщик не мог изменить те настройки.
- Защитите загрузчик так, чтобы начальная загрузка чего-либо кроме командной строки по умолчанию потребовала обеспечения пароля.
Шаги 1 и 2 о Ваших аппаратных средствах а не об операционной системе, поэтому если Вы испытываете затруднения из-за них, спрашиваете относительно Суперпользователя. Для шага 3, что сделать, зависит от Вашего загрузчика (на который Вы не указали). Загрузчик по умолчанию на Ubuntu является Личинкой 2.
Во-первых, генерируйте хэш пароля с grub-mkpasswd-pbkdf2.
Затем, объявите пользователя и пароль путем создания исполняемого файла (модификация 755 или 700) названный файл /etc/grub.d/01_users (имеет значение что существа файла с 01) с этим содержанием (где grub.pbkdf2.….DEADBEEF что grub-mkpasswd-pbkdf2 произведенный):
#!/bin/sh -e
## Declare users and passwords
cat <<EOF
set superusers="torayeff"
password_pbkdf2 torayeff grub.pbkdf2.sha512.10000.DEADBEEF
EOF
Только аутентифицируемые суперпользователи могут отредактировать записи меню или ввести командную строку. Другие пользователи могут только загрузить подготовленные записи.
Если Вы хотите также ограничить некоторые записи загрузки аутентифицируемым пользователем, заменой menuentry "name" menuentry "name" --users "user1 user2" в месте, где они сгенерированы. Записи для Вашей установки Linux, memtest86 и любая другая ОС, которую Вы можете иметь на той машине, находятся в /etc/grub.d/10_linux, /etc/grub.d/20_memtest86+ и /etc/grub.d/30_os-prober соответственно.
Когда Вы внесли изменения в /etc/grub.d, выполненный sudo update-grub перед перезагрузкой.