Sådan beskyttes GRUB med en adgangskode (Linux)

Normalt bruger vi en god del af vores tid i forhindre uautoriseret adgang til vores teams: vi konfigurerer firewalls, brugertilladelser, ACL'er, skaber stærke adgangskoder osv.; men vi husker sjældent beskytte bagagerummet på vores udstyr. Hvis en person har fysisk adgang til computeren, kan de genstarte den og ændre grub-parametre for at få administratoradgang til computeren. Bare tilføj et '1' eller 's' til slutningen af ​​GRUB 'kerne'-linjen for at få den slags adgang.

For at undgå dette kan GRUB beskyttes ved at bruge et kodeord, så hvis det ikke er kendt, er det ikke muligt at ændre dets parametre.

Hvis du har GRUB-bootloaderen installeret (som er mest almindelig, hvis du bruger de mest populære Linux-distributioner), kan du beskytte hver GRUB-menuindgang med en adgangskode. På denne måde, hver gang du vælger et operativsystem til at starte, vil det bede dig om den adgangskode, du har angivet for at starte systemet. Og som en bonus, hvis din computer bliver stjålet, vil ubudne gæster ikke kunne få adgang til dine filer. Det lyder godt, ikke?

GRUB 2

For hver Grub-indgang kan der oprettes en bruger med privilegier til at ændre parametrene for de GRUB-poster, der vises, når systemet startes, bortset fra superbrugeren (den, der har adgang til at ændre Grub ved at trykke på "e"-tasten). Vi vil gøre dette i filen /etc/grub.d/00_header. Vi åbner filen med vores foretrukne editor:

sudo nano /etc/grub.d/00_header

Indsæt følgende til sidst:

kat < < EOF
sæt superbrugere = "bruger1"
adgangskode bruger1 adgangskode1
EOF

Hvor bruger1 er superbruger, eksempel:

kat < < EOF
set superbrugere = "superbruger"
superbrugeradgangskode 123456
EOF

For at oprette flere brugere skal du tilføje dem nedenfor:

superbrugeradgangskode 123456

Det ville være mere eller mindre som følger:

kat < < EOF
sæt superbrugere="superbruger"
superbrugeradgangskode 123456
adgangskode bruger2 7890
EOF

Når vi har etableret de brugere, vi ønsker, gemmer vi ændringerne.

beskytte vinduer 

For at beskytte Windows skal du redigere filen /etc/grub.d/30_os-prober.

sudo nano /etc/grub.d/30_os-prober

Se efter en kodelinje, der siger:

menuindgang "${LONGNAME} (på ${DEVICE})" {

Det skulle se sådan ud (hvor superbruger er navnet på superbrugeren):

menuindgang "${LONGNAME} (på ${DEVICE})" –users superuser {

 
Gem ændringerne og kør:

sudo update-grub

Jeg åbnede filen /boot/grub/grub.cfg:

sudo nano /boot/grub/grub.cfg

Og hvor er Windows-posten (noget som dette):

menury "Windows XP Professional" {

ændre det til dette (hvor bruger2 er navnet på den bruger, der har adgangsrettigheder):

menury "Windows XP Professional" -brugere bruger2 {

Genstart og du er færdig. Nu, når du prøver at indtaste Windows, vil det bede dig om adgangskoden. Hvis du trykker på "e", vil den også bede dig om adgangskoden.

Beskyt Linux

For at beskytte Linux-kerneposter skal du redigere filen /etc/grub.d/10_linux og se efter linjen, der siger:

menuvalg "$1" {

Hvis du kun ønsker, at superbrugeren skal kunne få adgang til den, skal den se sådan ud:

menuindgang "$1" --brugere bruger1 {

Hvis du vil have en anden bruger til at få adgang:

menuindgang "$1" – brugere bruger2 {

Du kan også beskytte hukommelseskontrolinputtet ved at redigere filen /etc/grub.d/20_memtest:

menuindgang "Hukommelsestest (memtest86+)" –users superuser {

Beskyt alle poster

For at beskytte alle poster køres:

sudo sed -i -e '/^menuentry /s/ {/ –users superuser {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os-prober /etc/grub.d/40_custom

For at fortryde dette trin skal du køre:

sudo sed -i -e '/^menuentry /s/ –users superuser[/B] {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os-prober /etc/grub.d/40_custom

GRUB

Lad os starte med at åbne GRUB-miljøet. Jeg åbnede en terminal og skrev:

grub

Så indtastede jeg følgende kommando:

md5crypt

Den vil bede dig om den adgangskode, du vil bruge. Skriv det og tryk på Enter. Du får en krypteret adgangskode, som du skal vogte meget omhyggeligt. Nu, med administratortilladelser, skal du åbne filen /boot/grub/menu.lst med din foretrukne teksteditor:

sudo gedit /boot/grub/menu.lst

For at indstille adgangskoden til GRUB-menuposterne efter eget valg, skal du tilføje følgende til hver af de poster, du vil beskytte:

password --md5 mit_adgangskode

Hvor my_password ville være den (krypterede) adgangskode returneret af md5crypt: Før:

titel Ubuntu, kerne 2.6.8.1-2-386 (gendannelsestilstand)
root (hd1,2)
kerne /boot/vmlinuz-2.6.8.1-2-386 root=/dev/hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386

derefter:

titel Ubuntu, kerne 2.6.8.1-2-386 (gendannelsestilstand)
root (hd1,2)
kerne /boot/vmlinuz-2.6.8.1-2-386 root=/dev/hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Gem filen og genstart. Så nemt! For at forhindre ikke kun en ondsindet person i at ændre konfigurationsparametrene for den beskyttede post, men heller ikke selv være i stand til at starte det system, kan du tilføje en linje i "beskyttet" posten efter titelparameteren. Efter vores eksempel ville det se sådan ud:

titel Ubuntu, kerne 2.6.8.1-2-386 (gendannelsestilstand)
lås
root (hd1,2)
kerne /boot/vmlinuz-2.6.8.1-2-386 root=/dev/hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Næste gang nogen vil starte det system, bliver de nødt til at indtaste adgangskoden.

kilde: delanover & Gøre brug af & Ubuntu Forums & elavudvikler