如何保护我的笔记本电脑，以便无法通过物理访问进行黑客攻击？

Question

我之前搞砸了我的系统，在启动到 Ubuntu 时遇到了黑屏。当我启动我的笔记本电脑时，我从 grub 菜单中选择了恢复选项，并在根终端选择了回退。我看到我可以使用 add user 命令，有了它，我可能可以用来在我的机器上创建一个特权用户。

这不是安全问题吗？

有人可能偷了我的笔记本电脑，然后在启动时选择恢复并添加另一个用户，然后我就傻了。包括我的数据。

想想看，即使您以某种方式删除了该条目，您也可以从 live-CD 启动，chroot启动并运行，然后添加另一个用户，该用户具有允许它查看我所有数据的正确权限。

如果我将 BIOS 设置为仅在我的 HD 上启动，没有 USB、CD/DVD、网络启动，并设置 BIOS 密码，那仍然没有关系，因为您仍然有那个 grub 恢复启动条目。

我相当肯定，来自中国、俄罗斯的人无法从网络破解我的 Ubuntu Trusty Tahr，因为它是安全的。但是，如果有人可以物理访问我的 - 你的 - 机器，那么，这就是我问这个问题的原因。我怎样才能保护我的机器，以便不可能通过物理访问进行黑客攻击？

---

错误报告：

• 错误 #283662“在“恢复模式”-boot 下没有登录提示：错误：Ubuntu

Answer 1

我的猜测是，只有使用强大算法的全盘加密，最重要的是，好的密码是唯一可以保护本地存储数据的方法。这可能为您提供 99.99% 的安全性。请参阅有关如何执行此操作的众多指南之一。

除此之外，不可能保护您的机器免受具有物理访问权限的经验丰富的黑客的攻击。

• 用户/帐户密码：
  如果您启动到恢复模式，很容易创建一个新的管理员用户，正如您自己描述的那样，因为您获得了一个 root shell，而不会被要求输入密码。
  这可能看起来像是一个意外的安全问题，但适用于（谁会想到？）恢复情况，例如您丢失了管理员密码或弄乱了sudo命令或其他重要内容。

• root 密码：
  Ubuntu 默认没有设置任何 root 用户密码。但是，您可以设置一个，如果您在恢复模式下启动，系统会要求您提供。这看起来很安全，但仍然不是最终安全的解决方案。single init=/bin/bash在启动以单用户模式启动它的 Ubuntu 之前，您仍然可以通过 GRUB添加内核参数- 这实际上也是一个没有密码的 root shell。

• 使用密码保护 GRUB 菜单：
  您可以保护您的 GRUB 菜单条目仅在身份验证后才能访问，即您可以拒绝在没有密码的情况下启动恢复模式。这也可以防止操纵内核参数。有关更多信息，请参阅help.ubuntu.com 上的Grub2/Passwords 站点。只有当您从外部介质启动或将 HDD 直接连接到另一台机器时，才能绕过这一点。

• 在 BIOS 中禁用从外部媒体启动：
  您可以设置启动顺序，通常在许多当前 BIOS/UEFI 版本中从启动中排除设备。但是这些设置并不安全，因为每个人都可以进入设置菜单。您也必须在这里设置密码，但是...

• BIOS 密码：
  您通常也可以绕过 BIOS 密码。有几种方法：

  • 通过打开计算机机箱并物理取出 CMOS 电池或临时设置“清除 CMOS”跳线来重置 CMOS 内存（存储 BIOS 设置的位置）。
  • 使用服务组合键重置 BIOS 设置。大多数主板制造商在他们的服务手册中描述了组合键，以将混乱的 BIOS 设置重置为默认值，包括密码。一个例子是ScreenUp在打开电源时按住，如果我没记错的话，在我搞砸了我的超频设置后，它为我解锁了一次带有 AMI BIOS 的 acer 主板。
  • 最后但并非最不重要的是，有一组默认的 BIOS 密码似乎总是有效，独立于实际设置的密码。我没有对其进行测试，但该站点提供了按制造商分类的列表。
    感谢 Rinzwind 提供此信息和链接！

• 锁上电脑机箱/拒绝对主板和硬盘的物理访问：
  即使其他一切都失败了，数据窃贼仍然可以打开您的笔记本电脑/电脑，取出硬盘并将其连接到他自己的电脑上。安装它并访问所有未加密的文件是小菜一碟。你必须把它放在一个安全上锁的盒子里，你可以确保没有人能够打开电脑。然而，这对于笔记本电脑来说是不可能的，而对于台式机来说则是困难的。也许你可以考虑拥有一部动作片，就像自毁装置，如果有人试图打开它，它会在里面炸毁一些炸药？;-) 但是请确保您永远不必自己打开它进行维护！

• 全盘加密：
  我知道我建议这种方法是安全的，但如果您在笔记本电脑打开时丢失了它，它也不是 100% 安全的。有一种所谓的“冷启动攻击”，允许攻击者在重置跑步机后从您的 RAM 中读取加密密钥。这会卸载系统，但不会在没有电源的情况下刷新 RAM 内容的时间足够短。
  感谢 kos 对这次攻击的评论！
  我还要在这里引用他的第二条评论：

  这是一个旧视频，但很好地解释了这个概念：YouTube 上的“Lest We Remember: Cold Boot Attacks on Encryption Keys”；如果您设置了 BIOS 密码，攻击者仍然可以在笔记本电脑仍在运行时取出 CMOS 电池，从而使定制驱动器能够启动而不会丢失任何关键时刻；由于 SSD，现在这更可怕，因为考虑到约 150MB/s 的写入速度，定制的 SSD 可能能够在不到 1 分钟的时间内转储 8GB

  有关如何防止冷启动攻击的相关但仍未解决的问题：如何启用 Ubuntu（使用全盘加密）在睡眠/暂停到 RAM 之前调用 LUKSsupend？

总结：目前没有什么能真正保护您的笔记本电脑不被具有物理访问和恶意意图的人使用。只有当您过于偏执以至于忘记密码或崩溃而有丢失所有数据的风险时，您才能完全加密所有数据。因此，加密使备份变得比现在更重要。但是，它们也应该被加密并放置在一个非常安全的地方。
或者只是不要放弃您的笔记本电脑，并希望您永远不会丢失它。;-)

如果您不太关心您的数据，而更关心您的硬件，那么您可能希望购买并在您的机箱中安装 GPS 发送器，但这仅适用于真正的偏执狂或联邦特工。

Answer 2

最安全的笔记本电脑是没有任何数据的笔记本电脑。您可以设置自己的私有云环境，然后不在本地存储任何重要的内容。

或者取出硬盘并用铝热剂将其熔化。虽然这在技术上回答了这个问题，但它可能不是最实用的，因为您将无法再使用您的笔记本电脑。但那些永远含糊其辞的黑客也不会。

除这些选项外，对硬盘进行双重加密，并需要插入 USB 拇指驱动器才能对其进行解密。USB 拇指驱动器包含一组解密密钥，而 BIOS 包含另一组 - 当然受密码保护。如果在启动/从挂起状态恢复期间未插入 USB 拇指驱动器，则将其与自动数据自毁程序相结合。随身携带 USB 拇指驱动器。这种组合也恰好处理XKCD #538。

Answer 3

加密您的磁盘。这样，您的系统和数据将是安全的，以防您的笔记本电脑被盗。除此以外：

• BIOS 密码无济于事：小偷可以轻松地从您的计算机中提取磁盘并将其放在另一台 PC 上以从中启动。
• 您的用户/root 密码也无济于事：小偷可以轻松地如上所述安装磁盘并访问您的所有数据。

我建议您有一个 LUKS 分区，您可以在其中设置 LVM。您可以不加密启动分区，这样您只需输入一次密码。这意味着如果您的系统被篡改（在您甚至没有注意到的情况下被盗并返还给您），您的系统可能更容易受到损害，但这是一种非常罕见的情况，除非您认为自己被 NSA、政府或某种黑手党，你不应该担心这个。

您的 Ubuntu 安装程序应该为您提供以非常简单和自动化的方式使用 LUKS+LVM 进行安装的选项。我不会在此处重新发布详细信息，因为互联网上已经有大量文档。:-)

Answer 4

有几个硬件解决方案值得注意。

首先，一些笔记本电脑，例如一些联想商务笔记本电脑，带有一个篡改检测开关，可以检测外壳何时被打开。在联想上，此功能需要在 BIOS 中激活，并且需要设置管理员密码。如果检测到篡改，笔记本​​电脑将（我相信）立即关闭，然后在启动时显示警告并需要管理员密码和正确的交流适配器才能继续。一些篡改检测器还会发出声音警报，并且可以配置为发送电子邮件。

篡改检测并不能真正防止篡改（但它可能会使从 RAM 中窃取数据变得更加困难 - 如果篡改检测检测到一些非常狡猾的东西，例如试图取出 CMOS 电池，它可能会“变砖”设备）。主要优点是有人无法在您不知情的情况下秘密篡改硬件 - 如果您设置了强大的软件安全性，例如全盘加密，那么对硬件的秘密篡改绝对是剩余的攻击媒介之一。

另一个物理安全措施是某些笔记本电脑可以锁定在坞站上。如果扩展坞牢固地安装在桌子上（通过位于笔记本电脑下方的螺钉）并且笔记本电脑在不使用时保持锁定在扩展坞上，则它提供了额外的物理保护层。当然，这不会阻止一个顽固的小偷，但它肯定会让从家里或公司偷走笔记本电脑变得更加困难，并且在锁定后它仍然完全可用（并且您可以将外围设备、以太网等插入到扩展坞）。

当然，这些物理特征对于保护没有它们的笔记本电脑没有用。但是，如果您有安全意识，那么在购买笔记本电脑时可能值得考虑它们。