So schützen Sie GRUB mit einem Passwort (Linux)

Normalerweise verbringen wir einen Großteil unserer Zeit damit unbefugten Zugriff verhindern an unsere Teams: Wir konfigurieren Firewalls, Benutzerberechtigungen, ACLs, erstellen sichere Kennwörter usw.; aber wir erinnern uns selten Schützen Sie den Start unserer Geräte. Wenn eine Person physischen Zugriff auf den Computer hat, kann sie ihn neu starten und GRUB-Parameter ändern um Administratorzugriff auf den Computer zu erhalten. Fügen Sie einfach eine '1' oder 's' am Ende der GRUB 'Kernel'-Zeile hinzu, um diese Art von Zugriff zu erhalten.

Um dies zu vermeiden, kann GRUB mit einem Kennwort geschützt werden. Wenn dies nicht bekannt ist, können die Parameter nicht geändert werden.

Wenn Sie den GRUB-Bootloader installiert haben (was am häufigsten der Fall ist, wenn Sie die gängigsten Linux-Distributionen verwenden), können Sie jeden Eintrag im GRUB-Menü mit einem Kennwort schützen. Auf diese Weise werden Sie jedes Mal, wenn Sie ein zu startendes Betriebssystem auswählen, nach dem Kennwort gefragt, das Sie zum Starten des Systems angegeben haben. Und als Bonus können Eindringlinge nicht auf Ihre Dateien zugreifen, wenn Ihr Computer gestohlen wird. Hört sich gut an, oder?

GRUB 2

Für jeden Grub-Eintrag können Sie einen Benutzer mit Berechtigungen zum Ändern der Parameter der Einträge einrichten, die beim Systemstart in GRUB angezeigt werden, mit Ausnahme des Superusers (der Zugriff auf das Ändern von Grub durch Drücken der Taste "e" hat). Wir werden dies in der Datei /etc/grub.d/00_header tun. Wir öffnen die Datei mit unserem Lieblingseditor:

sudo nano /etc/grub.d/00_header

Fügen Sie am Ende Folgendes ein:

Katze < < EOF
set superusers=“user1“
Passwort Benutzer1 Passwort1
EOF

Wo Benutzer1 der Superuser ist, Beispiel:

Katze < < EOF
set superusers=“superuser“
Superuser-Passwort 123456
EOF

Um weitere Benutzer zu erstellen, fügen Sie diese unten hinzu:

Superuser-Passwort 123456

Es würde mehr oder weniger wie folgt aussehen:

Katze < < EOF
set superusers="superuser"
Superuser-Passwort 123456
Passwort user2 7890
EOF

Sobald wir die gewünschten Benutzer festgelegt haben, speichern wir die Änderungen.

Windows schützen 

Um Windows zu schützen, müssen Sie die Datei /etc/grub.d/30_os-prober bearbeiten.

sudo nano /etc/grub.d/30_os-prober

Suchen Sie nach einer Codezeile mit der Aufschrift:

Menüeintrag "$ {LONGNAME} (auf $ {DEVICE})" {

Es sollte so aussehen (Superuser ist der Name des Superusers):

Menüeintrag "$ {LONGNAME} (auf $ {DEVICE})" –users superuser {

 
Speichern Sie die Änderungen und führen Sie Folgendes aus:

sudo update-grub

Ich habe die Datei /boot/grub/grub.cfg geöffnet:

sudo nano /boot/grub/grub.cfg

Und wo ist der Windows-Eintrag (so ähnlich):

Menüeintrag "Windows XP Professional" {

Ändern Sie dies in (Benutzer2 ist der Name des Benutzers, der über Zugriffsrechte verfügt):

Menüeintrag "Windows XP Professional" - Benutzer user2 {.

Starten Sie neu und gehen Sie. Wenn Sie nun versuchen, Windows aufzurufen, werden Sie nach dem Kennwort gefragt. Wenn Sie die Taste "e" drücken, werden Sie auch nach dem Passwort gefragt.

Schützen Sie Linux

Um die Linux-Kernel-Einträge zu schützen, bearbeiten Sie die Datei /etc/grub.d/10_linux und suchen Sie nach der Zeile mit der Aufschrift:

Menüeintrag "$ 1" {

Wenn Sie nur möchten, dass der Superuser darauf zugreifen kann, sollte dies folgendermaßen aussehen:

Menüeintrag "$ 1" –users user1 {.

Wenn Sie möchten, dass ein zweiter Benutzer darauf zugreifen kann:

Menüeintrag "$ 1" –users user2 {.

Sie können den Eintrag auch vor der Speicherprüfung schützen, indem Sie die Datei /etc/grub.d/20_memtest bearbeiten:

Menüeintrag "Speichertest (memtest86 +)" –users superuser {

Schützen Sie alle Einträge

Um alle Einträge zu schützen, führen Sie Folgendes aus:

sudo sed -i -e '/ ^ menuentry / s / {/ –users superuser {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os-prober / etc / grub.d / 40_custom

Führen Sie Folgendes aus, um diesen Schritt rückgängig zu machen:

sudo sed -i -e '/ ^ menuentry / s / –users superuser [/ B] {/ {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os- prober /etc/grub.d/40_custom

GRUB

Beginnen wir mit dem Öffnen der GRUB-Umgebung. Ich öffnete ein Terminal und schrieb:

Made

Dann habe ich den folgenden Befehl eingegeben:

md5crypt

Sie werden nach dem Passwort gefragt, das Sie verwenden möchten. Geben Sie es ein und perison Enter. Sie erhalten ein verschlüsseltes Passwort, das Sie sehr sorgfältig aufbewahren müssen. Mit Administratorrechten habe ich jetzt die Datei /boot/grub/menu.lst mit Ihrem bevorzugten Texteditor geöffnet:

sudo gedit /boot/grub/menu.lst

Um das Kennwort für die von Ihnen bevorzugten GRUB-Menüeinträge festzulegen, müssen Sie jedem der zu schützenden Einträge Folgendes hinzufügen:

Passwort --md5 my_password

Wobei my_password das von md5crypt zurückgegebene (verschlüsselte) Passwort wäre: Vorher:

Titel Ubuntu, Kernel 2.6.8.1-2-386 (Wiederherstellungsmodus)
Wurzel (hd1,2)
Kernel /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386

Nach:

Titel Ubuntu, Kernel 2.6.8.1-2-386 (Wiederherstellungsmodus)
Wurzel (hd1,2)
Kernel /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Speichern Sie die Datei und starten Sie neu. So einfach! Um zu vermeiden, dass eine böswillige Person nicht nur die Konfigurationsparameter des geschützten Eintrags ändern kann, sondern auch dieses System nicht starten kann, können Sie nach dem Titelparameter eine Zeile in den "geschützten" Eintrag einfügen. Nach unserem Beispiel würde es ungefähr so ​​aussehen:

Titel Ubuntu, Kernel 2.6.8.1-2-386 (Wiederherstellungsmodus)
sperren
Wurzel (hd1,2)
Kernel /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Wenn jemand das nächste Mal dieses System starten möchte, muss er das Kennwort eingeben.

Quelle: delanover & Makeuseof & Ubuntu-Foren & Elaventwickler