-2 security authentication pam
位于 /etc/pam.d/ 中的 PAM 配置文件容易受到物理攻击。也就是说,它们可以从外部系统(可启动 USB 或将驱动器带到另一台机器)进行修改
除了加密整个驱动器之外,还有其他方法可以保护这些 PAM 配置文件吗?
物理访问是根访问。如果您能够更改启动过程的任何部分,您就可以破坏系统。
这始终取决于您的攻击场景。如果您认为攻击者可以更改 PAM 配置,全盘加密 (FDE) 可以保护您免受这种情况的影响。如果您认为攻击者会用其他工具替换您的 FDE 密码提示来窃取您的密码,那么锁定的可信引导链就可以了(请参阅 LinuxBoot、HEADS),但此时您可能正在处理 TPM。HEADS 使这非常安全,但据我所知,它还没有完全准备好生产。
但是,这些都是软件缓解措施。一个硬件按键记录器放在你的键盘和主板之间可以重新只要发送您输入的对手。如果他们至少知道您的某些系统(例如发行版或 WM),他们也可以在输入暂停一段时间后重播键盘宏以发送数据。或者他们只是事先复制您的完整硬盘驱动器并使用记录的输入来解密您的副本。除非使用 TPM 或其他 enclave,否则几乎不可能阻止这种攻击。
因此,让我再次重复第一句话:物理访问是 root 访问。如果您想减缓攻击者的速度,那么至少要保护 GRUB 和您的引导设置(例如,任何 UEFI 和/或引导顺序更改都需要密码),始终从特定硬盘驱动器引导,并使用 FDE。但请记住,所有这些操作都会使故障排除和支持变得更加困难,就像加固门和额外的安全锁会让锁匠在丢失钥匙时变得更加困难一样。
但请记住,这取决于您的攻击场景。如果我只是想造成一些伤害,我会在你的笔记本上放一桶水。
回到您的问题:任何保护配置文件的方法都将再次存储在某个地方。当有人修改文件时,他们也可以继续更改该元文件。它一直是文件。