|
Обикновено прекарваме голяма част от времето си предотвратяване на неоторизиран достъп за нашите екипи: конфигурираме защитни стени, разрешения на потребители, ACL, създаваме защитени пароли и т.н .; но рядко си спомняме защита на стартирането на нашето оборудване.
Ако човек има физически достъп до компютъра, той може да го рестартира и промяна на GRUB параметри за да получите администраторски достъп до компютъра. Просто добавете '1' или 's' в края на реда на ядрото на GRUB, за да получите такъв достъп. |
За да се избегне това, GRUB може да бъде защитен с помощта на парола, така че ако не е известна, не е възможно да се променят нейните параметри.
Ако имате инсталиран GRUB зареждащ файл (което е най-често, ако използвате най-популярните Linux дистрибуции), можете да защитите всеки запис в менюто GRUB с парола. По този начин, всеки път, когато изберете операционна система за зареждане, тя ще ви поиска паролата, която сте посочили, за да стартирате системата. И като бонус, ако компютърът ви бъде откраднат, нарушителите няма да имат достъп до вашите файлове. Звучи добре, нали?
GRUB 2
За всеки запис на Grub можете да установите потребител с привилегии да променя параметрите на записите, които се появяват в GRUB при стартиране на системата, с изключение на суперпотребителя (този, който има достъп да модифицира Grub, като натисне бутона „e“). Ще направим това във файла /etc/grub.d/00_header. Отваряме файла с любимия ни редактор:
sudo nano /etc/grub.d/00_header
В края поставете следното:
котка < < EOF
задайте superusers=”user1″
парола потребител1 парола1
EOF
Където user1 е суперпотребителят, пример:
котка < < EOF
set superusers=”superuser”
парола за суперпотребител 123456
EOF
За да създадете повече потребители, добавете ги по-долу:
парола за суперпотребител 123456
Ще изглежда горе-долу по следния начин:
котка < < EOF
set superusers="superuser"
парола за суперпотребител 123456
парола потребител2 7890
EOF
След като установим желаните потребители, запазваме промените.
Защитете Windows
За да защитите Windows, трябва да редактирате файла /etc/grub.d/30_os-prober.
sudo nano /etc/grub.d/30_os-prober
Потърсете ред код, който казва:
menuentry "$ {LONGNAME} (на $ {DEVICE})" {
Тя трябва да изглежда така (суперпотребителят е името на суперпотребителя):
menuentry „$ {LONGNAME} (на $ {DEVICE})“ –потребители суперпотребител {
Запазете промените и стартирайте:
sudo update-grub
Отворих файла /boot/grub/grub.cfg:
sudo nano /boot/grub/grub.cfg
И къде е записът за Windows (нещо подобно):
menuentry "Windows XP Professional" {
променете го на това (user2 е името на потребителя, който има привилегии за достъп):
menuentry "Windows XP Professional" –потребители user2 {
Рестартирайте и отидете. Сега, когато се опитате да влезете в Windows, той ще ви попита за паролата. Ако натиснете бутона "e", той също ще поиска паролата.
Защитете Linux
За да защитите записите в ядрото на Linux, редактирайте файла /etc/grub.d/10_linux и потърсете реда, който казва:
меню "$ 1" {
Ако искате само суперпотребителят да има достъп до него, той трябва да изглежда така:
menuentry "$ 1" –потребители user1 {
Ако искате втори потребител да има достъп:
menuentry "$ 1" –потребители user2 {
Можете също да защитите записа от проверката на паметта, като редактирате файла /etc/grub.d/20_memtest:
menuentry "Тест на паметта (memtest86 +)" –потребители суперпотребител {
Защитете всички записи
За да защитите всички записи, изпълнете:
sudo sed -i -e '/ ^ menuentry / s / {/ –потребители суперпотребител {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os-prober / и т.н. / grub.d / 40_custom
За да отмените тази стъпка, изпълнете:
sudo sed -i -e '/ ^ menuentry / s / –потребители суперпотребител [/ B] {/ {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os- prober /etc/grub.d/40_custom
GRUB
Нека започнем с отваряне на средата GRUB. Отворих терминал и написах:
ровя
След това въведох следната команда:
md5crypt
Ще ви поиска паролата, която искате да използвате. Въведете го и perison Enter. Ще получите шифрована парола, която трябва да пазите много внимателно. Сега, с администраторски разрешения, отворих файла /boot/grub/menu.lst с любимия ви текстов редактор:
sudo gedit /boot/grub/menu.lst
За да зададете паролата за предпочитаните от вас записи в менюто GRUB, трябва да добавите следното към всеки от записите, които искате да защитите:
парола - md5 my_password
Където my_password ще бъде (криптирана) парола, върната от md5crypt: Преди:
заглавие Ubuntu, ядро 2.6.8.1-2-386 (режим на възстановяване)
корен (hd1,2)
ядро /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro единично
initrd /boot/initrd.img-2.6.8.1-2-386
след това:
заглавие Ubuntu, ядро 2.6.8.1-2-386 (режим на възстановяване)
корен (hd1,2)
ядро /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro единично
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs
Запазете файла и рестартирайте. Толкова лесно! За да избегнете не само, че злонамерен човек може да промени конфигурационните параметри на защитения запис, но и че дори не може да стартира тази система, можете да добавите ред в записа „защитен“ след параметъра за заглавие. Следвайки нашия пример, това би изглеждало по следния начин:
заглавие Ubuntu, ядро 2.6.8.1-2-386 (режим на възстановяване)
заключване
корен (hd1,2)
ядро /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro единично
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs
Следващият път, когато някой иска да стартира тази система, ще трябва да въведе паролата.
Fuente: Делановер & Да се възползват от & Форуми за Ubuntu & elavdeveloper
Здравейте, искам помощ, моля, искам да защитя ядрото на андроид системата си с парола, защото ако устройството бъде откраднато, те сменят ROM и никога не мога да го възстановя! Ако можете да ми помогнете ... Имам достъп на суперпотребител, но искам да ми поиска пропуск, когато поставите устройството в режим на изтегляне. Благодаря предварително.
Отличен принос. Абонирани