Comment se défendre contre un piratage informatique Live USB

Une installation Linux peut être simplement piratée en utilisant un USB / CD en direct, en obtenant un access root sur la dissortingbution en direct, en chrootant sur le système de files cible et en exécutant la passwd root . On peut utiliser Grub aussi . Il peut y avoir d'autres methods aussi.

Quel est le moyen le plus efficace de se protéger contre le piratage de l'installation à partir de Live USB à condition que le système fonctionne sur un lecteur SSD (TRIM et le encryption ne fonctionnent pas bien)?

Ne pas autoriser l'access USB.

La vérité est que si quelqu'un a un access physique à la machine, il n'y a pas grand-chose à faire. Dans ce cas précis, votre meilleur pari est de désactiver le démarrage sur USB et de verrouiller le BIOS (ou tout autre utilitaire de configuration EFI) avec un mot de passe. C'est un peu comme mettre un cadenas sur une porte de garage, il y a des paths autour, mais c'est une étape facile qui permet aux honnêtes gens d'être honnêtes.

Il n'y a vraiment qu'une seule réponse à cela: le encryption complet du disque.

La façon dont le chiffrement complet du disque est fait avec Linux, votre partition /boot n'est pas chiffrée et contient le kernel et initramfs – juste assez de fonctionnalités pour démarrer un environnement minimal qui vous invite à décrypter le système de files racine et à accéder à tout le rest .

Le encryption intégral du disque fait de cette façon permettra de protéger vos données d'être observé par quelqu'un qui démarre un autre operating system, ou qui d'ailleurs extrait votre disque dur et le monte sur un autre système. Il ne vous protégera pas de quelqu'un qui démarre un autre operating system ou qui monte votre disque dur ailleurs et installe un binary / kernel / module malveillant dans votre partition /boot , dans votre bootloader ou dans le firmware de votre système.

TRIM et le encryption sont réputés ne pas bien fonctionner

Oui, parce que TRIM révélerait quelles parties du disque sont utilisées et lesquelles ne le sont pas. Il n'y a pas vraiment moyen de contourner ça …