Отключить сброс пароля root

Что помешает вытащить диск и подключить его к другому хосту?

А если, Вы, уважаемый завтра под трамвай попадёте? Как восстановить доступ к тому ящику без Вас?

Пароль на grub, пароль на bios.

Сейф, замок, ключ от помещения и 220 вольт под стул.

Сейф - неплохое решение.

то есть сброс пароля root никак не отключить? То есть тот кто локально имеет доступ к машине так или иначе может получить доступ под root ?

Мне там особо данные не нужны. Но как-то предохраниться хочется – чтобы включи openvpn были в более-менее безопасности.

При доступе к машине легко сбрасывается, при физическом неконтролируемом доступе к машине очень тяжело обеспечить секретность.

То есть тот кто локально имеет доступ к машине так или иначе может получить доступ под root ?

Верно.

https://hackware.ru/?p=12784

Герметичный? Вентиляция плохая.

С вентиляцией? Зальют водой.

Залить водой - не значит получить доступ.

Вы понимаете что при доступе к машине можно легко заменить загрузчик, а при полнодисковом шифровании считывать данные когда система уже загружена

Лючше хоть какая-то защита, чем вообще никакой.

Не надо думать про рута, думай про то, что ценное там лежит.
ОС стартует как обычно и ждёт тебя по ssh.
FDE для раздела, на котором полезное.
Если раздел за зашифровать, то сделать трукрипт контейнер.
Зашёл, примонтировал зашифрованный раздел/контейнер, запустил всё нужное, ушёл до следующего ребута.

Но похоже тут немодно задавать подобного рода вопросы, С большой долей вероятности можешь получить ответ от местных оналитеков с мозгом тинейджеров типа Диск шифровать, только портить

Вы, уважаемый завтра под трамвай попадёте? Как восстановить доступ к тому ящику без Вас?

Он-то точно нет. А те, кто будут пытаться вытаскивать и подключать куда-то диск с FDE - вполне вероятно, что и да.

Всё ценное должно хранится в сейфе, а не на сервере где-то там, куда могут получить физический доступ. Для удаленного хранения в таком случае такие данные должны хранится в зашифрованном виде. Т.е. зашифровал файл и отправил на сервер для удаленного хранения. Всё! По другому быть не должно.

то есть сброс пароля root никак не отключить? То есть тот кто локально имеет доступ к машине так или иначе может получить доступ под root ?

Диск зашифруй и не получит. Только нужно будет знать, как вводить пароль для его расшифровки на старте.

Но как-то предохраниться хочется – чтобы включи openvpn были в более-менее безопасности.

Ключи зашифруй и вводи пароль на старте OpenVPN.

При доступе к машине легко сбрасывается, при физическом неконтролируемом доступе к машине очень тяжело обеспечить секретность.

Ты - неграмотный клоун.

1. Шифрование диска.

2. Integrity с проверкой целостности /etc/shadow.

Поможет ли дополнительно запускать скрипт у рута, чтобы все грохал, если под рутом зашли?

Извините: я не указал, что машина эта должна жить сама по себе: никаких ручных вводов паролей и настроек. При перезагрузке она сама включаться должна и автоматом подключаться к серверу openvpn. Делаю клиента для передачи данных с удаленного объекта

И соответственно не хотелось бы, чтобы кто-то смог полазить там в настройках системы

разве лазить в чужом сервере не уголовно-наказуемое деяние в большинстве стран мира? неужели кто-то готов залезть к вам на сервер, потому что приз превышает риски? или вы от полиции скрываетесь и просите нас помочь вам совершить правонарушение?

Просто зашифровать разделы. Для удаленного ввода пароля к ним во время загрузки системы можно поставить dropbear в initrd.

Что бы ты ни делал, если железка находится под физическим контролем злоумышленника - он, при должном старании, достанет из неё любые данные. И дело тут не в пароле от рута, и даже не в линуксе или другой ОС. Просто прими, что физический доступ всегда перекрывает все остальные меры защиты, вне зависимости от того, по какой технологии они реализованы.

Максимум, что ты можешь сделать против физического доступа - это security through obscurity (общепризнанно порочная практика, но в данном случае единственно возможная) - запутать взломщика, возможно ему станет лень распутывать и он бросит это дело.

Ну а так, конечно - всё ценное следует хранить под физической охраной, желательно вооружённой.

Делаете отпечаток системы, включающей как аппаратную часть, так и запущенные при штатном функционировании процессы. В фоне постоянно контролируете соответствие отпечатку. Любой выход за пределы - команда к разлогиниванию(ресету, взрыву, тревоге и тп)

Расскажи нам как. Особо интересны «штатные процессы»

Понятия не имею что там запущено. Но если у вопросанта это какой-то секретный сервер - значит вряд ли на нем серфят и играют. Значит список запущенных процессов у него более-менее стабилен. Пусть пробует набрать статистику и ее учитывает. Если вам эта идея не нравится - возражайте

Извините: я не указал, что машина эта должна жить сама по себе: никаких ручных вводов паролей и настроек. При перезагрузке она сама включаться должна и автоматом подключаться к серверу openvpn.

Тогда тебе нужно разобраться с TPM, boot measurements, IMA (https://sourceforge.net/p/linux-ima/wiki/Home/) и поддержкой этого в том дистрибутиве, который ты используешь. Доступ к ключам шифрования диска нужно залочить на измеренное содержимое PCR регистров (https://community.frame.work/t/fde-tpm-secure-boot-and-linux/5044). Стоит озаботиться тем, чтобы TPM был интегрированным, а если он дискретный, то чтобы на одной с ним шине не было больше ничего.

В процессе любого апгрейда железа или обновления софта или фирмвари нужно не забывать перелочивать ключ на новые значения PCR.