Πώς να προστατεύσετε το GRUB με κωδικό πρόσβασης (Linux)

Alejandro (a.k.a KZKG^Gaara)

4 λεπτά

 Συνήθως περνάμε ένα μεγάλο μέρος του χρόνου μας μέσα αποτροπή μη εξουσιοδοτημένης πρόσβασης στις ομάδες μας: διαμορφώνουμε τείχη προστασίας, δικαιώματα χρήστη, ACL, δημιουργούμε ισχυρούς κωδικούς πρόσβασης κ.λπ. αλλά σπάνια θυμόμαστε προστατεύουμε την μπότα του εξοπλισμού μας.

Εάν ένα άτομο έχει φυσική πρόσβαση στον υπολογιστή, μπορεί να τον επανεκκινήσει και αλλαγή παραμέτρων grub για να αποκτήσετε πρόσβαση διαχειριστή στον υπολογιστή. Απλώς προσθέστε ένα «1» ή «s» στο τέλος της γραμμής «πυρήνα» του GRUB για να αποκτήσετε αυτό το είδος πρόσβασης.


Για να αποφευχθεί αυτό, το GRUB μπορεί να προστατευτεί χρησιμοποιώντας έναν κωδικό πρόσβασης, έτσι ώστε εάν δεν είναι γνωστός, να μην είναι δυνατή η τροποποίηση των παραμέτρων του.

Εάν έχετε εγκατεστημένο τον bootloader GRUB (που είναι πιο συνηθισμένος εάν χρησιμοποιείτε τις πιο δημοφιλείς διανομές Linux), μπορείτε να προστατεύσετε κάθε καταχώρηση μενού GRUB με έναν κωδικό πρόσβασης. Με αυτόν τον τρόπο, κάθε φορά που επιλέγετε ένα λειτουργικό σύστημα για εκκίνηση, θα σας ζητά τον κωδικό πρόσβασης που έχετε ορίσει για την εκκίνηση του συστήματος. Και ως μπόνους, εάν ο υπολογιστής σας κλαπεί, οι εισβολείς δεν θα μπορούν να έχουν πρόσβαση στα αρχεία σας. Ακούγεται καλό, σωστά;

GRUB 2

Για κάθε καταχώρηση Grub, μπορεί να δημιουργηθεί ένας χρήστης με δικαιώματα για να τροποποιεί τις παραμέτρους των καταχωρήσεων GRUB που εμφανίζονται κατά την εκκίνηση του συστήματος, εκτός από τον υπερχρήστη (αυτόν που έχει πρόσβαση να τροποποιήσει το Grub πατώντας το πλήκτρο «e»). Αυτό θα το κάνουμε στο αρχείο /etc/grub.d/00_header. Ανοίγουμε το αρχείο με τον αγαπημένο μας επεξεργαστή:

sudo nano /etc/grub.d/00_header

Στο τέλος επικολλήστε το εξής:

γάτα < < ΕΟΦ
set superusers=”user1″
κωδικός χρήστης1 κωδικός πρόσβασης1
EOF

Όπου ο χρήστης1 είναι ο υπερχρήστης, παράδειγμα:

γάτα < < ΕΟΦ
set superusers=”superuser”
κωδικός υπερχρήστη 123456
EOF

Για να δημιουργήσετε περισσότερους χρήστες, προσθέστε τους παρακάτω:

κωδικός υπερχρήστη 123456

Θα ήταν λίγο πολύ ως εξής:

γάτα < < ΕΟΦ
set superusers="superuser"
κωδικός υπερχρήστη 123456
κωδικός πρόσβασης user2 7890
EOF

Αφού δημιουργήσουμε τους χρήστες που θέλουμε, αποθηκεύουμε τις αλλαγές.

προστατέψτε τα παράθυρα 

Για να προστατέψετε τα Windows πρέπει να επεξεργαστείτε το αρχείο /etc/grub.d/30_os-prober. 

sudo nano /etc/grub.d/30_os-prober

Αναζητήστε μια γραμμή κώδικα που λέει:

στοιχείο μενού "${LONGNAME} (σε ${DEVICE})" {

Θα πρέπει να μοιάζει με αυτό (όπου superuser είναι το όνομα του υπερχρήστη):

στοιχείο μενού "${LONGNAME} (σε ${DEVICE})" -υπερχρήστης χρηστών {

 
Αποθηκεύστε τις αλλαγές και εκτελέστε:

sudo update-grub

Άνοιξα το αρχείο /boot/grub/grub.cfg:

sudo nano/boot/grub/grub.cfg

Και πού είναι η καταχώρηση των Windows (κάτι σαν αυτό):

μενού "Windows XP Professional" {

αλλάξτε το σε αυτό (όπου user2 είναι το όνομα του χρήστη που έχει δικαιώματα πρόσβασης):

μενού "Windows XP Professional" –χρήστες χρήστη2 {

Κάντε επανεκκίνηση και τελειώσατε. Τώρα, όταν προσπαθείτε να εισαγάγετε τα Windows, θα σας ζητήσει τον κωδικό πρόσβασης. Εάν πατήσετε το πλήκτρο «e», θα σας ζητήσει και τον κωδικό πρόσβασης.

Προστατέψτε το Linux

Για να προστατεύσετε τις καταχωρήσεις του πυρήνα του Linux, επεξεργαστείτε το αρχείο /etc/grub.d/10_linux και αναζητήστε τη γραμμή που λέει:

μενού "$1" {

Εάν θέλετε μόνο ο υπερχρήστης να έχει πρόσβαση σε αυτό, θα πρέπει να μοιάζει με αυτό:

μενού "$1" --χρήστες χρήστη1 {

Εάν θέλετε ένας δεύτερος χρήστης να έχει πρόσβαση:

μενού "$1" –χρήστες χρήστη2 {

Μπορείτε επίσης να προστατεύσετε την είσοδο ελέγχου μνήμης επεξεργάζοντας το αρχείο /etc/grub.d/20_memtest:

μενού "Δοκιμή μνήμης (memtest86+)" -υπερχρήστης χρηστών {

Προστατέψτε όλες τις καταχωρήσεις

Για να προστατεύσετε όλες τις καταχωρήσεις, εκτελέστε:

sudo sed -i -e '/^menuentry /s/ {/ –users superuser {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os-prober /etc/ grub.d/40_custom

Για να αναιρέσετε αυτό το βήμα, εκτελέστε:

sudo sed -i -e '/^menuentry /s/ –users superuser[/B] {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os- probe /etc/grub.d/40_custom

GRUB

Ας ξεκινήσουμε ανοίγοντας το περιβάλλον GRUB. Άνοιξα ένα τερματικό και έγραψα:

grub

Στη συνέχεια έβαλα την ακόλουθη εντολή:

md5crypt

Θα σας ζητήσει τον κωδικό πρόσβασης που θέλετε να χρησιμοποιήσετε. Πληκτρολογήστε το και πατήστε Enter. Θα λάβετε έναν κρυπτογραφημένο κωδικό πρόσβασης, τον οποίο πρέπει να φυλάξετε πολύ προσεκτικά. Τώρα, με δικαιώματα διαχειριστή, ανοίξτε το αρχείο /boot/grub/menu.lst με τον αγαπημένο σας επεξεργαστή κειμένου:

sudo gedit /boot/grub/menu.lst

Για να ορίσετε τον κωδικό πρόσβασης στις καταχωρήσεις του μενού GRUB της επιλογής σας, πρέπει να προσθέσετε τα ακόλουθα σε καθεμία από τις καταχωρήσεις που θέλετε να προστατεύσετε:

κωδικός πρόσβασης --md5 my_password

Όπου my_password θα ήταν ο (κρυπτογραφημένος) κωδικός πρόσβασης που επιστρέφεται από το md5crypt: Πριν:

τίτλος Ubuntu, πυρήνας 2.6.8.1-2-386 (λειτουργία ανάκτησης)
root (hd1,2)
πυρήνας /boot/vmlinuz-2.6.8.1-2-386 root=/dev/hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386

Μετά από:

τίτλος Ubuntu, πυρήνας 2.6.8.1-2-386 (λειτουργία ανάκτησης)
root (hd1,2)
πυρήνας /boot/vmlinuz-2.6.8.1-2-386 root=/dev/hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Αποθηκεύστε το αρχείο και επανεκκινήστε. Τόσο εύκολο! Για να αποτρέψετε όχι μόνο ένα κακόβουλο άτομο από το να αλλάξει τις παραμέτρους διαμόρφωσης της προστατευμένης καταχώρησης, αλλά και να μην μπορεί καν να ξεκινήσει αυτό το σύστημα, μπορείτε να προσθέσετε μια γραμμή στην "προστατευμένη" καταχώρηση, μετά την παράμετρο τίτλου. Ακολουθώντας το παράδειγμά μας, θα μοιάζει κάπως έτσι:

τίτλος Ubuntu, πυρήνας 2.6.8.1-2-386 (λειτουργία ανάκτησης)
lock
root (hd1,2)
πυρήνας /boot/vmlinuz-2.6.8.1-2-386 root=/dev/hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Την επόμενη φορά που κάποιος θέλει να ξεκινήσει αυτό το σύστημα, θα πρέπει να εισαγάγει τον κωδικό πρόσβασης.

πηγή: delanover & Κάνουν χρήση του & Φόρουμ του Ubuntu & elavdeveloper


Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: Miguel Ángel Gatón
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.

  1.   Μαρσέλο Μιράντα dijo
    πριν 11 χρόνια

    Γεια σας, θέλω βοήθεια, παρακαλώ, θέλω να προστατέψω τον πυρήνα του συστήματος android μου με κωδικό, γιατί αν κλαπεί η συσκευή, αλλάζουν τη ROM και δεν μπόρεσα να την ανακτήσω ποτέ! Αν μπορείτε να με βοηθήσετε... Έχω πρόσβαση superuser, αλλά θέλω να μου ζητήσετε ένα πάσο όταν βάζετε τον υπολογιστή σε λειτουργία λήψης. Ευχαριστώ εκ των προτέρων.

    Απάντηση στον Μαρσέλο Μιράντα
  2.   Χοσέ Ντάμιαν dijo
    πριν 10 χρόνια

    Εξαιρετική συνεισφορά. εγγεγραμμένος

    Απάντηση στον Jose Damian