A GRUB védelme jelszóval (Linux)

Időnk jó részét általában erre fordítjuk megakadályozza az illetéktelen hozzáférést csapatainknak: konfiguráljuk a tűzfalakat, a felhasználói engedélyeket, az ACL-t, biztonságos jelszavakat készítünk stb. de ritkán emlékszünk védjük a berendezésünk beindítását. Ha egy személynek fizikai hozzáférése van a számítógéphez, akkor újraindíthatja és módosítsa a GRUB paramétereket hogy rendszergazdai hozzáférést kapjon a számítógéphez. Egyszerűen adjon hozzá egy „1” vagy „s” szót a GRUB „kernel” sorának végéhez, hogy ilyen típusú hozzáférést kapjon.

Ennek elkerülése érdekében a GRUB jelszóval védhető, így ha nem ismert, akkor a paraméterei nem módosíthatók.

Ha telepítve van a GRUB rendszerindító (ami a leggyakoribb, ha a legnépszerűbb Linux disztribúciókat használja), akkor a GRUB menü minden bejegyzését jelszóval védheti meg. Ily módon minden alkalommal, amikor az operációs rendszert választja a rendszerindításhoz, a rendszer indításához kérni fogja a megadott jelszót. Bónuszként, ha ellopják a számítógépét, a betolakodók nem férhetnek hozzá a fájljaihoz. Jól hangzik, igaz?

GRUB2

Minden egyes Grub bejegyzéshez létrehozhat egy felhasználót, akinek jogai vannak a GRUB-nál a rendszer indításakor megjelenő bejegyzések paramétereinek módosítására, kivéve a felülfelhasználót (aki hozzáférhet a Grub módosításához az „e” gomb megnyomásával). Ezt az /etc/grub.d/00_header fájlban fogjuk megtenni. Megnyitjuk a fájlt kedvenc szerkesztőnkkel:

sudo nano /etc/grub.d/00_header

A végén illessze be a következőket:

macska < < EOF
set superusers=”user1”
jelszó user1 jelszó1
EOF

Ahol a user1 a superuser, példa:

macska < < EOF
set superusers=”szuperuser”
superuser jelszó 123456
EOF

További felhasználók létrehozásához adja hozzá őket alább:

superuser jelszó 123456

Nagyjából a következőképpen nézne ki:

macska < < EOF
set superusers="szuperuser"
superuser jelszó 123456
jelszó user2 7890
EOF

Miután létrehoztuk a kívánt felhasználókat, elmentjük a módosításokat.

Védje a Windows rendszert 

A Windows védelme érdekében szerkesztenie kell az /etc/grub.d/30_os-prober fájlt.

sudo nano /etc/grub.d/30_os-prober

Keressen egy kódsort, amely a következőket mondja:

menuentry "$ {LONGNAME} ($ {DEVICE} eszközön") {

Így kell kinéznie (a superuser a superuser neve):

menuentry "$ {LONGNAME} ($ {DEVICE} -on") - felhasználói superuser {

 
Mentse el a módosításokat, és futtassa:

sudo update-grub

Megnyitottam a /boot/grub/grub.cfg fájlt:

sudo nano /boot/grub/grub.cfg

És hol van a Windows bejegyzés (valami hasonló):

menuentry "Windows XP Professional" {

változtassa meg erre (a user2 a hozzáférési jogosultságokkal rendelkező felhasználó neve):

menuentry "Windows XP Professional" –felhasználók user2 {

Indítsd újra és menj. Most, amikor megpróbálja belépni a Windows rendszerbe, meg fogja kérni a jelszót. Ha megnyomja az "e" gombot, akkor a jelszót is meg fogja kérni.

Védje a Linuxot

A Linux kernelbejegyzések védelme érdekében módosítsa az /etc/grub.d/10_linux fájlt, és keresse meg a következő sort:

menuentry "$ 1" {

Ha csak azt szeretné, hogy a superuser hozzáférjen hozzá, annak így kell kinéznie:

menuentry "$ 1" –felhasználók user1 {

Ha azt szeretné, hogy egy második felhasználó is hozzáférhessen:

menuentry "$ 1" - user2 felhasználók {

Az /etc/grub.d/20_memtest fájl szerkesztésével megvédheti a bejegyzést a memóriaellenőrzéstől is:

menuentry "Memóriateszt (memtest86 +)" - felhasználói superuser {

Védje az összes bejegyzést

Az összes futtatott bejegyzés védelme:

sudo sed -i -e '/ ^ menuentry / s / {/ –user superuser {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os-prober / etc / grub.d / 40_custom

A lépés visszavonásához futtassa:

sudo sed -i -e '/ ^ menuentry / s / –users superuser [/ B] {/ {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os- prober /etc/grub.d/40_custom

GRUB

Kezdjük azzal, hogy megnyitjuk a GRUB környezetet. Megnyitottam egy terminált és írtam:

grub

Ezután beírtam a következő parancsot:

md5crypt

Meg fogja kérni a használni kívánt jelszót. Írja be, és írja be a perison Enter-t. Titkosított jelszót kap, amelyet nagyon óvatosan kell megőriznie. Most rendszergazdai engedélyekkel megnyitottam a /boot/grub/menu.lst fájlt a kedvenc szövegszerkesztőjével:

sudo gedit /boot/grub/menu.lst

A jelszó hozzáadásához a GRUB menübeállításokhoz a következőket kell hozzáadnia a védeni kívánt bejegyzésekhez:

jelszó - md5 saját jelszó

Ahol a my_password az (titkosított) jelszó lesz, amelyet az md5crypt küldött vissza:

title Ubuntu, 2.6.8.1-2-386 kernel (helyreállítási mód)
root (hd1,2)
kernel /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386

akkor:

title Ubuntu, 2.6.8.1-2-386 kernel (helyreállítási mód)
root (hd1,2)
kernel /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Mentse a fájlt, és indítsa újra. Ez könnyű! Ennek elkerülése érdekében nemcsak azt, hogy egy rosszindulatú személy megváltoztathatja a védett bejegyzés konfigurációs paramétereit, hanem azt is, hogy nem is tudja elindítani ezt a rendszert, hozzáadhat egy sort a "védett" bejegyzéshez, a cím paraméter után. Példánkat követve ez így néz ki:

title Ubuntu, 2.6.8.1-2-386 kernel (helyreállítási mód)
lock
root (hd1,2)
kernel /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Amikor legközelebb valaki elindítja a rendszert, meg kell adnia a jelszót.

forrás: delanover & Kihasználni & Ubuntu fórumok & Fejlesztő