Kako zaštititi GRUB lozinkom (Linux)

Obično provodimo dobar dio svog vremena spriječiti neovlašteni pristup našim timovima: konfiguriramo zaštitni zid, korisničke dozvole, ACL-ove, stvaramo jake lozinke itd .; ali se rijetko sjetimo zaštititi pokretanje naše opreme. Ako osoba ima fizički pristup računaru, može ga ponovo pokrenuti i promijeniti GRUB parametre da biste dobili administratorski pristup računaru. Samo dodajte '1' ili 's' na kraj GRUB 'kernel' retka da biste dobili takvu vrstu pristupa.

Da bi se to izbjeglo, GRUB se može zaštititi upotrebom lozinke, tako da ako nije poznata, nije moguće mijenjati njegove parametre.

Ako imate instaliran GRUB pokretački program za pokretanje (što je najčešće ako koristite najpopularnije Linux distribucije), svaki unos u GRUB izborniku možete zaštititi lozinkom. Na taj će vas način svaki put kada odaberete operativni sistem za pokretanje tražiti lozinku koju ste naveli za pokretanje sistema. I kao bonus, ako vam ukradu računalo, uljezi neće moći pristupiti vašim datotekama. Zvuči dobro, zar ne?

GRUB2

Za svaki unos Gruba, možete uspostaviti korisnika s privilegijama da mijenja parametre unosa koji se pojavljuju u GRUB-u pri pokretanju sistema, osim superkorisnika (onaj koji ima pristup za izmjenu Gruba pritiskom na tipku „e“). To ćemo učiniti u datoteci /etc/grub.d/00_header. Datoteku otvaramo s našim omiljenim uređivačem:

sudo nano /etc/grub.d/00_header

Na kraju zalijepite sljedeće:

mačka < < EOF
postavi superusers=”user1″
lozinka user1 lozinka1
EOF

Gdje je user1 superkorisnik, primjer:

mačka < < EOF
set superusers=”superuser”
lozinka superkorisnika 123456
EOF

Da biste stvorili više korisnika, dodajte ih ispod:

lozinka superkorisnika 123456

Izgledalo bi otprilike ovako:

mačka < < EOF
set superusers="superuser"
lozinka superkorisnika 123456
lozinka user2 7890
EOF

Jednom kada uspostavimo korisnike koje želimo, promjene ćemo spremiti.

Zaštitite Windows 

Da biste zaštitili Windows, morate urediti datoteku /etc/grub.d/30_os-prober.

sudo nano /etc/grub.d/30_os-prober

Potražite liniju koda koja kaže:

menuentry "$ {LONGNAME} (na $ {DEVICE})" {

To bi trebalo izgledati ovako (superkorisnik je naziv superkorisnika):

menuentry "$ {LONGNAME} (na $ {DEVICE})" –korisnici superuser {

 
Spremite promjene i pokrenite:

sudo update-grub

Otvorio sam datoteku /boot/grub/grub.cfg:

sudo nano /boot/grub/grub.cfg

A gdje je unos za Windows (otprilike ovako):

meni "Windows XP Professional" {

promijenite ga u ovo (user2 je ime korisnika koji ima privilegije pristupa):

meni "Windows XP Professional" - korisnici user2 {

Ponovo pokrenite i krenite. Kada pokušate ući u Windows, tražit će vas lozinku. Ako pritisnete tipku "e", tražit će i lozinku.

Zaštitite Linux

Da biste zaštitili unose Linux kernela, uredite datoteku /etc/grub.d/10_linux i potražite redak koji kaže:

menuentry "$ 1" {

Ako samo želite da mu superkorisnik može pristupiti, to bi trebalo izgledati ovako:

menuentry "$ 1" –korisnici user1 {

Ako želite da drugi korisnik može pristupiti:

menuentry "$ 1" –korisnici user2 {

Unos možete zaštititi i od provjere memorije uređivanjem datoteke /etc/grub.d/20_memtest:

menuentry "Test memorije (memtest86 +)" - korisnici superuser {

Zaštitite sve unose

Da biste zaštitili sve unose, pokrenite:

sudo sed -i -e '/ ^ menuentry / s / {/ –korisnici superuser {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os-prober / etc / grub.d / 40_custom

Da poništite ovaj korak, pokrenite:

sudo sed -i -e '/ ^ menuentry / s / –korisnici superuser [/ B] {/ {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os- prober /etc/grub.d/40_custom

GRUB

Počnimo s otvaranjem GRUB okruženja. Otvorio sam terminal i napisao:

grub

Zatim sam unio sljedeću naredbu:

md5crypt

Zatražit će vas lozinku koju želite koristiti. Upišite i perison Enter. Dobit ćete šifriranu lozinku koju morate vrlo pažljivo čuvati. Sada sam, sa administratorskim dozvolama, otvorio /boot/grub/menu.lst datoteku s vašim omiljenim uređivačem teksta:

sudo gedit /boot/grub/menu.lst

Da biste stavili lozinku na stavke GRUB-a koje želite, morate dodati sljedeće unose koje želite zaštititi:

lozinka - md5 my_password

Gdje bi my_password bila (šifrirana) lozinka koju je vratio md5crypt: Prije:

naslov Ubuntu, kernel 2.6.8.1-2-386 (način oporavka)
korijen (hd1,2)
kernel /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro jedan
initrd /boot/initrd.img-2.6.8.1-2-386

Poslije:

naslov Ubuntu, kernel 2.6.8.1-2-386 (način oporavka)
korijen (hd1,2)
kernel /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro jedan
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Spremite datoteku i ponovo pokrenite. Tako lako! Da biste izbjegli, ne samo da zlonamjerna osoba može promijeniti konfiguracijske parametre zaštićenog unosa, već i da ne može pokrenuti taj sistem, možete dodati redak u "zaštićeni" unos, nakon parametra naslova. Slijedeći naš primjer, to bi izgledalo otprilike ovako:

naslov Ubuntu, kernel 2.6.8.1-2-386 (način oporavka)
zaključati
korijen (hd1,2)
kernel /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro jedan
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Sljedeći put kad netko želi pokrenuti taj sustav, morat će unijeti lozinku.

Izvor: delanover & Iskoristiti & Ubuntu forumi & elavdeveloper