Физический доступ — это корневой доступ. Если вы можете изменить любую часть процесса загрузки, вы можете скомпрометировать систему.
Это всегда зависит от вашего сценария атаки . Если вы считаете, что злоумышленник может изменить конфигурацию PAM,полное -шифрование диска (FDE )может защитить вас от этого. Если вы считаете, что злоумышленник заменяет ваш запрос пароля FDE каким-либо другим инструментом для перехвата вашего пароля, что ж, заблокированная доверенная загрузочная цепочка — это нормально (, см. LinuxBoot, HEADS ), но вы, вероятно, имеете дело с TPM в эта точка. HEADS делает это действительно безопасным, но, насколько я знаю, он не полностью готов к производству.
Тем не менее, это все программные меры. Аппаратный кейлоггер , размещенный между вашей клавиатурой и материнской платой, снова может просто отправить ваш ввод злоумышленнику. Если они знают хотя бы часть вашей системы (, например. дистрибутив или WM ), они также могут просто воспроизвести макрос клавиатуры для отправки данных всякий раз, когда в течение некоторого времени была пауза ввода. Или они просто заранее скопируют весь ваш жесткий диск и используют записанный ввод для расшифровки вашей копии. Если не используется TPM или другой анклав, предотвратить такую атаку практически невозможно.
Поэтому позвольте мне еще раз повторить первое утверждение:физический доступ — это корневой доступ . Если вы хотите замедлить злоумышленника-подражателя, то по крайней мере защитите GRUB и ваши настройки загрузки (, например. для любых изменений UEFI и/или порядка загрузки требуется пароль ), всегда загружайтесь с определенного жесткого диска и используйте FDE. Но имейте в виду, что все эти действия усложняют устранение неполадок и поддержку, точно так же, как усиленные двери и дополнительные надежные замки усложняют работу слесаря, если вы когда-либо потеряете ключи.
Но помните, это зависит от вашего сценария атаки. Если я просто хочу нанести какой-то урон, я выливаю ведро воды на твой блокнот.
Возвращаясь к вашему вопросу :, любые средства защиты файлов конфигурации снова где-то будут храниться. Когда кто-то изменяет файлы, он может просто изменить и этот метафайл. Это файлы до самого низа.