Kuinka suojata GRUB salasanalla (Linux)

Vietämme yleensä suuren osan ajastamme estää luvattoman käytön tiimeillemme: määritämme palomuurit, käyttöoikeudet, ACL: t, luomme vahvat salasanat jne. mutta me muistamme harvoin suojaamaan laitteidemme käynnistystä.

Jos henkilöllä on fyysinen pääsy tietokoneeseen, hän voi käynnistää sen uudelleen muuta GRUB-parametreja saada järjestelmänvalvojan käyttöoikeudet tietokoneeseen. Lisää vain '1' tai 's' GRUB-ytimen-rivin loppuun saadaksesi tällaisen pääsyn.


Tämän välttämiseksi GRUB voidaan suojata salasanalla, joten jos sitä ei tiedetä, sen parametreja ei ole mahdollista muuttaa.

Jos olet asentanut GRUB-käynnistyslataimen (mikä on yleisintä, jos käytät suosituimpia Linux-jakeluja), voit suojata jokaisen GRUB-valikon merkinnän salasanalla. Tällä tavoin joka kerta, kun valitset käynnistyskäyttöjärjestelmän, se pyytää sinulta salasanaa, jonka olet määrittänyt järjestelmän käynnistämiseksi. Ja bonuksena, jos tietokoneesi varastetaan, tunkeilijat eivät pääse tiedostoihisi. Kuulostaa hyvältä, eikö?

GRUB 2

Jokaiselle Grub-merkinnälle voit luoda käyttäjän, jolla on käyttöoikeudet muokata GRUB: ssa järjestelmän käynnistyessä näkyvien merkintöjen parametreja, lukuun ottamatta pääkäyttäjää (sitä, jolla on pääsy muokkaamaan Grubia painamalla "e" -näppäintä). Teemme tämän tiedostossa /etc/grub.d/00_header. Avaamme tiedoston suosikkieditorissamme:

sudo nano /etc/grub.d/00_header

Liitä lopuksi seuraava:

kissasarjakäyttäjät = ”käyttäjä1”
salasana käyttäjä1 salasana1
EOF

Jos käyttäjä1 on pääkäyttäjä, esimerkki:

kissasarjakäyttäjät = ”superkäyttäjä”
pääkäyttäjän salasana 123456
EOF

Jos haluat luoda lisää käyttäjiä, lisää heidät alla:

pääkäyttäjän salasana 123456

Se näyttäisi suunnilleen seuraavalta:

kissasarjan superkäyttäjät = "superkäyttäjä"
pääkäyttäjän salasana 123456
salasanan käyttäjä2 7890
EOF

Kun olemme löytäneet haluamasi käyttäjät, tallennamme muutokset.

Suojaa Windows 

Windowsin suojaamiseksi sinun on muokattava tiedostoa /etc/grub.d/30_os-prober.

sudo nano /etc/grub.d/30_os-prober

Etsi koodirivi, joka sanoo:

menuentry "$ {LONGNAME} (laitteessa $ {DEVICE}") {

Sen pitäisi näyttää tältä (pääkäyttäjä on pääkäyttäjän nimi):

menuentry "$ {LONGNAME} (laitteella $ {DEVICE})" - käyttäjien pääkäyttäjä {

 
Tallenna muutokset ja suorita:

sudo update-grub

Avasin tiedoston /boot/grub/grub.cfg:

sudo nano /boot/grub/grub.cfg

Ja missä on Windows-merkintä (jotain tällaista):

menuentry "Windows XP Professional" {

vaihda se näin (käyttäjä2 on sen käyttäjän nimi, jolla on käyttöoikeudet):

menuentry "Windows XP Professional" - käyttäjät user2 {

Käynnistä uudelleen ja mene. Nyt kun yrität päästä Windowsiin, se pyytää sinulta salasanaa. Jos painat "e" -näppäintä, se pyytää myös salasanaa.

Suojaa Linux

Suojaa Linux-ytimen merkinnät muokkaamalla tiedostoa /etc/grub.d/10_linux ja etsimällä riviä, joka sanoo:

menuentry "$ 1" {

Jos haluat vain, että pääkäyttäjä voi käyttää sitä, sen pitäisi näyttää tältä:

menuentry "$ 1" - käyttäjän käyttäjä1 {

Jos haluat toisen käyttäjän pääsyn:

menuentry "$ 1" - käyttäjät user2 {

Voit myös suojata merkinnän muistitarkistukselta muokkaamalla tiedostoa /etc/grub.d/20_memtest:

menuentry "Muistitesti (memtest86 +)" - käyttäjien pääkäyttäjä {

Suojaa kaikki merkinnät

Kaikkien suoritettujen merkintöjen suojaamiseksi:

sudo sed -i -e '/ ^ menuentry / s / {/ –käyttäjien pääkäyttäjä {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os-prober / etc / grub.d / 40_kustomoitu

Kumoa tämä vaihe suorittamalla:

sudo sed -i -e '/ ^ menuentry / s / –käyttäjien pääkäyttäjä [/ B] {/ {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os- koetin /etc/grub.d/40_custom

GRUB

Aloitetaan avaamalla GRUB-ympäristö. Avasin terminaalin ja kirjoitin:

grub

Sitten annoin seuraavan komennon:

md5crypt

Se kysyy sinulta salasanaa, jota haluat käyttää. Kirjoita se ja perison Enter. Saat salatun salasanan, jota sinun on pidettävä erittäin huolellisesti. Nyt järjestelmänvalvojan oikeuksilla avasin /boot/grub/menu.lst -tiedoston suosikkitekstieditorilla:

sudo gedit /boot/grub/menu.lst

Jos haluat lisätä salasanan haluamallesi GRUB-valikkomerkinnälle, sinun on lisättävä seuraava kuhunkin suojattavaan kohtaan:

salasana - md5 oma salasana

Missä my_password olisi (salattu) salasana, jonka md5crypt palautti: Ennen:

title Ubuntu, kernel 2.6.8.1-2-386 (palautustila)
root (hd1,2)
ydin /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hbb ro single
initrd /boot/initrd.img-2.6.8.1-2-386

Jälkeen:

title Ubuntu, kernel 2.6.8.1-2-386 (palautustila)
root (hd1,2)
ydin /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hbb ro single
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Tallenna tiedosto ja käynnistä se uudelleen. Noin helppoa! Voit välttää paitsi sen, että pahantahtoinen henkilö voi muuttaa suojatun merkinnän kokoonpanoparametreja, myös että hän ei voi edes käynnistää kyseistä järjestelmää. Voit lisätä rivin "suojattu" -merkintään otsikkoparametrin jälkeen. Esimerkkimme mukaan se näyttäisi tältä:

title Ubuntu, kernel 2.6.8.1-2-386 (palautustila)
lukko
root (hd1,2)
ydin /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hbb ro single
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Seuraavan kerran, kun joku haluaa käynnistää järjestelmän, hänen on annettava salasana.

lähde: delanover & Hyödyntää & Ubuntu-foorumit & Kehittäjä


Artikkelin sisältö noudattaa periaatteita toimituksellinen etiikka. Ilmoita virheestä napsauttamalla täällä.

2 kommenttia, jätä omasi

Jätä kommentti

Sähköpostiosoitettasi ei julkaista.

*

*

  1. Vastuussa tiedoista: Miguel Ángel Gatón
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   Marcelo miranda dijo

    Hei, haluan apua, haluan suojata Android-järjestelmän ytimen salasanalla, koska jos laite varastetaan, he vaihtavat ROM-levyä, enkä voi koskaan palauttaa sitä! Jos voit auttaa minua ... Minulla on pääsy käyttäjälle, mutta haluan sen pyytävän minulta passia, kun laitat laitteen lataustilaan. Kiitos etukäteen.

  2.   Jose damian dijo

    Erinomainen panos. Tilattu