ฉันประสบปัญหาในการรักษาความปลอดภัยของแพลตฟอร์มแบบฝังตัว มีการตั้งค่าการชุบแข็ง ssh ทั้งหมด รวมถึงการตรวจสอบสิทธิ์ 2 ปัจจัยและการเข้าสู่ระบบด้วยคู่คีย์ ssh
ตอนนี้ รหัสผ่านรูทและผู้ใช้นั้นไร้สาระและง่ายต่อการถอดรหัส สิ่งที่คุณต้องมีคือการเข้าถึงอุปกรณ์ทางกายภาพ ปล่อยให้มาตรการและข้อควรระวังทั้งหมดซ้ำซ้อน ความคิดของฉันคือทำให้การเข้าถึงรูทแข็งขึ้นด้วยเทคนิคเดียวกับ ssh (ทำให้คำสั่ง sudo และการเข้าถึงรูทแข็งขึ้น) อย่างไรก็ตาม แม้ว่ามันจะเป็นปัญหาทั่วไปในแพลตฟอร์มแบบฝังทั้งหมด แต่ฉันไม่พบข้อมูลมากนักเกี่ยวกับเรื่องนี้
ฉันจะจัดการกับสิ่งนี้ได้อย่างไร
ฉันไม่แน่ใจว่าคุณกำลังขออะไรกันแน่ ดังนั้นฉันจะเดาและสันนิษฐานว่าคุณต้องการทำให้การรับรองความถูกต้อง sudo ของคุณแข็งขึ้น
หากเป็นกรณีนี้และ sudo ในระบบของคุณรองรับ PAM ให้ดูที่ pam_ssh_agent_auth สำหรับการตรวจสอบสิทธิ์คีย์สาธารณะ ssh หรือที่ pam_sss_gss (ซึ่งอาจต้องมีการตั้งค่า FreeIPA IdM อย่างถูกต้อง)
การเข้าถึงทางกายภาพไม่สามารถป้องกันได้อย่างสมบูรณ์ บุคคลที่มีแรงจูงใจเพียงพอจะทำวิศวกรรมย้อนกลับระบบเพื่อเข้าถึง ไปจนถึงการถอดประกอบและอ่านค่าฮาร์ดแวร์
ทำให้งานของผู้โจมตียากขึ้นโดยแทนที่รหัสผ่านด้วยการรับรองความถูกต้องที่รัดกุมยิ่งขึ้นหากเป็นไปได้
สามารถกำหนดค่า SSH เพื่อลบการตรวจสอบสิทธิ์รหัสผ่าน ทั้งการใช้งาน OpenSSH และ dropbear อนุญาต
ตรวจสอบการเข้าสู่ระบบที่เป็นไปได้ในเครื่อง ไม่ใช่ผ่านเครือข่าย วิดีโอออกด้วย USB in อาจเปิดใช้งานการเข้าสู่ระบบ tty หรือฮาร์ดแวร์อาจมีคอนโซลแบบอนุกรม
ในกล่อง Linux ที่มีไลบรารี่ PAM การรับรองความถูกต้องสามารถปรับแต่งได้ผ่านโมดูลที่สามารถรวมเข้าด้วยกันได้หลายวิธี
อนุญาตให้เข้าสู่ระบบหรือ sudo U2F ด้วยตัวตรวจสอบฮาร์ดแวร์เช่น Yubikey (pam_u2f)
อนุญาตรหัสผ่านครั้งเดียวจากอุปกรณ์ (pam_google_authenticator หรือ pam_oath)
ตรวจสอบสิทธิ์ตาม ssh-agent (pam_ssh_agent_auth)
ลบรหัสผ่านให้เพียงพอสำหรับการรับรองความถูกต้อง
ห้ามการเข้าสู่ระบบรูท อนุญาตให้รูทเข้าถึงพอร์ตซีเรียลที่เข้าถึงยากเท่านั้น (pam_securetty)
หากคุณต้องมีรหัสผ่าน ให้กำหนดความยาว เช่น 16 อักขระ (pam_pwquality) และสนับสนุนการใช้วลี เช่น Diceware อย่าใช้ข้อกำหนด "ความซับซ้อน" ซึ่งไม่เป็นมิตรกับผู้ใช้
นั่นคือความรู้เบื้องต้นเกี่ยวกับการพิสูจน์ตัวตน OS แล้วก่อนหน้านี้ล่ะ? ในระหว่างการบู๊ตเป็นตัวอย่างที่การเข้าถึงทางกายภาพทำให้คุณเข้ามาการแก้ไขคำสั่งเคอร์เนลใน grub จะทำให้คุณได้รับเชลล์โดยไม่ต้องใช้ข้อมูลประจำตัว ซึ่งในขณะที่มีประโยชน์ในการกู้คืนจากข้อมูลประจำตัวที่สูญหายอาจไม่ต้องการ พิจารณารหัสผ่านเพื่อป้องกันตัวโหลดบูต
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
