Accesul fizic nu poate fi apărat complet. O persoană suficient de motivată va face inginerie inversă a sistemului pentru a obține acces, până la dezasamblarea acestuia și citirea hardware-ului.
Faceți sarcina atacatorului mai dificilă prin înlocuirea parolelor cu o autentificare mai puternică, acolo unde este posibil.
SSH poate fi configurat pentru a elimina autentificarea parolei, atât implementările OpenSSH, cât și dropbear permit acest lucru.
Examinați ce conectări sunt posibile local, nu prin rețea. Ieșirea video cu intrare USB poate permite conectarea la un tty. Sau, hardware-ul poate furniza o consolă serială.
Pe o cutie Linux cu biblioteci PAM, autentificarea este personalizabilă, prin module care pot fi combinate în diferite moduri.
Permiteți autentificarea sau sudo U2F cu autentificatoare hardware precum Yubikey (pam_u2f)
Permiteți o singură parolă de pe un dispozitiv (pam_google_authenticator sau pam_oath)
Autentificarea pe baza ssh-agent (pam_ssh_agent_auth)
Eliminați parolele ca fiind suficiente pentru autentificare
Interziceți conectarea la rădăcină, permiteți root-ul doar la un port serial greu de accesat fizic (pam_securetty)
Dacă trebuie să aveți parole, aplicați o lungime mare, cum ar fi 16 caractere (pam_pwquality) și încurajați utilizarea expresiilor ca în cazul Diceware. Nu utilizați cerințe de „complexitate”, acestea nu sunt ușor de utilizat.
Aceasta este o introducere în autentificarea sistemului de operare, cum rămâne cu înainte? În timpul pornirii este un exemplu în care accesul fizic vă face să intrați.Editarea comenzii kernel în grub vă poate obține un shell fără acreditări. Care, deși util pentru a recupera acreditările pierdute, poate să nu fie de dorit. Luați în considerare protejarea cu parolă a încărctorului de pornire.
