刚刚阅读更改密码复杂性,我偶然发现了这一点:
https://help.ubuntu.com/stable/ubuntu-help/user-forgottenpassword.html
这不是很大的安全隐患吗?假设有人拿到了实体盒子/笔记本电脑?我知道 Windows 需要使用密码重置盘。但是,我假设如果有人持有 HDD/SSD,假设文件系统尚未加密,他们可以读取其上的信息。但是,即使使用加密,似乎任何人都可以在终端处重置系统密码。
“重置密码”的更抽象定义是“修改物理磁盘上的数据”。具有物理访问权限的每个人都可以更改磁盘上的任何位,而与操作系统无关。
如果您知道以前的密码,则只能在终端中重置密码,除非您以 root 身份登录(例如在恢复模式下)。为了防止这种情况(修改密码文件/etc/shadow),您应该使用全盘加密 (LUKS)。加密您的主目录仍然允许修改根文件系统(密码文件)和插入随机文件。
顺便说一句,任何有物理访问权限的人都可以毁掉你的机器。引导密码不会阻止人们将磁盘从机器中取出并将其插入机器(例如通过 SATA - USB/eSATA 电缆)并修改其内容(或从中复制数据)。即使是完全加密的磁盘也不会像您预期的那样完全加密。系统如何启动?使用未加密的引导加载程序。有一个漏洞也称为“邪恶女仆攻击”,它是通过修改引导加载程序文件来执行的。在这样的“攻击”之后,机器的所有者不会注意到任何事情,因为可能插入了复制输入密码的小代码。
一种缓解这种情况的方法是使用专用的引导介质(存储卡、USB 记忆棒),但这通常不是普通人所喜欢的,因为他们遇到这种情况的机会很小。