암호로 GRUB를 보호하는 방법 (Linux)

우리는 일반적으로 시간의 상당 부분을 무단 액세스 방지 우리 팀에 : 방화벽, 사용자 권한, ACL을 구성하고 안전한 암호를 만드는 등의 작업을 수행합니다. 하지만 우리는 거의 기억하지 않습니다 우리 장비의 시작을 보호.

사람이 컴퓨터에 물리적으로 액세스 할 수있는 경우 컴퓨터를 다시 시작하고 GRUB 매개 변수 변경 컴퓨터에 대한 관리자 액세스 권한을 얻습니다. GRUB 'kernel'줄 끝에 '1'또는 's'를 추가하면 이러한 종류의 액세스 권한을 얻을 수 있습니다.


이를 방지하기 위해 암호를 사용하여 GRUB를 보호 할 수 있으므로 알려지지 않은 경우 해당 매개 변수를 수정할 수 없습니다.

GRUB 부트 로더가 설치되어있는 경우 (가장 널리 사용되는 Linux 배포판을 사용하는 경우 가장 일반적 임) GRUB 메뉴의 각 항목을 암호로 보호 할 수 있습니다. 이렇게하면 부팅 할 운영 체제를 선택할 때마다 시스템을 부팅하기 위해 지정한 암호를 묻는 메시지가 표시됩니다. 또한 컴퓨터를 도난 당하면 침입자가 파일에 액세스 할 수 없습니다. 좋아, 그렇지?

GRUB 2

각 Grub 항목에 대해 수퍼 유저 ( "e"키를 눌러 Grub을 수정할 권한이있는 사용자)와는 별도로 시스템이 시작될 때 GRUB가 표시하는 항목의 매개 변수를 수정할 수있는 권한을 가진 사용자를 설정할 수 있습니다. /etc/grub.d/00_header 파일에서이 작업을 수행합니다. 선호하는 편집기로 파일을 엽니 다.

sudo nano /etc/grub.d/00_header

마지막에 다음을 붙여 넣습니다.

cat set superusers =”user1 ″
암호 user1 password1
EOF

user1은 수퍼 유저입니다. 예 :

cat set superusers =”superuser”
수퍼 유저 암호 123456
EOF

더 많은 사용자를 만들려면 아래에 추가하세요.

수퍼 유저 암호 123456

다음과 같이 다소 보일 것입니다.

cat set superusers = "superuser"
수퍼 유저 암호 123456
암호 user2 7890
EOF

원하는 사용자를 설정하면 변경 사항을 저장합니다.

Windows 보호 

Windows를 보호하려면 /etc/grub.d/30_os-prober 파일을 편집해야합니다.

sudo nano /etc/grub.d/30_os-prober

다음과 같은 코드 줄을 찾습니다.

메뉴 항목 "$ {LONGNAME} ($ {DEVICE})"{

다음과 같이 표시되어야합니다 (수퍼 유저는 수퍼 유저의 이름 임).

menuentry "$ {LONGNAME} ($ {DEVICE})"–users superuser {

 
변경 사항을 저장하고 다음을 실행합니다.

sudo update-grub

/boot/grub/grub.cfg 파일을 열었습니다.

sudo 나노 /boot/grub/grub.cfg

그리고 Windows 항목은 어디에 있습니까 (다음과 같이) :

menuentry "Windows XP Professional"{

다음과 같이 변경하십시오 (user2는 액세스 권한이있는 사용자의 이름 임).

menuentry "Windows XP Professional"–users user2 {

재부팅하고 이동하십시오. 이제 Windows에 들어 가려고 할 때 암호를 묻는 메시지가 표시됩니다. "e"키를 누르면 암호도 묻습니다.

Linux 보호

Linux 커널 항목을 보호하려면 /etc/grub.d/10_linux 파일을 편집하고 다음 줄을 찾습니다.

menuentry "$ 1"{

수퍼 유저 만 액세스 할 수 있도록하려면 다음과 같아야합니다.

menuentry "$ 1"–users user1 {

두 번째 사용자가 액세스 할 수 있도록하려면 다음을 수행하십시오.

menuentry "$ 1"–users user2 {

/etc/grub.d/20_memtest 파일을 편집하여 메모리 검사에서 항목을 보호 할 수도 있습니다.

menuentry "메모리 테스트 (memtest86 +)"–users superuser {

모든 항목 보호

모든 항목을 보호하려면 다음을 실행하십시오.

sudo sed -i -e '/ ^ menuentry / s / {/ –users superuser {/'/etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os-prober / etc / grub.d / 40_custom

이 단계를 실행 취소하려면 다음을 실행하십시오.

sudo sed -i -e '/ ^ menuentry / s / –users superuser [/ B] {/ {/'/etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os- prober /etc/grub.d/40_custom

GRUB

GRUB 환경을 열어 시작하겠습니다. 터미널을 열고 다음과 같이 썼습니다.

애벌레

그런 다음 다음 명령을 입력했습니다.

md5crypt

사용하려는 비밀번호를 묻습니다. 그것을 입력하고 perison 입력하십시오. 매우 신중하게 보관해야하는 암호화 된 암호를 받게됩니다. 이제 관리자 권한으로 좋아하는 텍스트 편집기로 /boot/grub/menu.lst 파일을 열었습니다.

sudo gedit /boot/grub/menu.lst

선호하는 GRUB 메뉴 항목에 비밀번호를 입력하려면 보호하려는 각 항목에 다음을 추가해야합니다.

암호 --md5 my_password

my_password는 md5crypt에서 반환 한 (암호화 된) 암호입니다. 이전 :

title Ubuntu, kernel 2.6.8.1-2-386 (복구 모드)
루트 (hd1,2)
커널 /boot/vmlinuz-2.6.8.1-2-386 루트 = / dev / hdb3 ro 단일
initrd /boot/initrd.img-2.6.8.1-2-386

후:

title Ubuntu, kernel 2.6.8.1-2-386 (복구 모드)
루트 (hd1,2)
커널 /boot/vmlinuz-2.6.8.1-2-386 루트 = / dev / hdb3 ro 단일
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

파일을 저장하고 재부팅하십시오. 간단합니다! 악의적 인 사용자가 보호 된 항목의 구성 매개 변수를 변경할 수있을뿐만 아니라 해당 시스템을 시작할 수도없는 것을 방지하기 위해 제목 매개 변수 뒤에 "보호됨"항목에 줄을 추가 할 수 있습니다. 우리의 예를 따르면 다음과 같이 보일 것입니다.

title Ubuntu, kernel 2.6.8.1-2-386 (복구 모드)
자물쇠
루트 (hd1,2)
커널 /boot/vmlinuz-2.6.8.1-2-386 루트 = / dev / hdb3 ro 단일
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

다음에 누군가 해당 시스템을 시작하려면 암호를 입력해야합니다.

출처 : 델라노버 & 활용 & 우분투 포럼 & 엘라브 개발자


기사의 내용은 우리의 원칙을 준수합니다. 편집 윤리. 오류를보고하려면 여기에.

2 코멘트, 당신의 것을 남겨주세요

코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.

  1.   마르셀로 미란다

    안녕하세요, 도움이 필요합니다. 제 안드로이드 시스템의 커널을 비밀번호로 보호하고 싶습니다. 기기를 도난 당하면 ROM이 변경되어 복구 할 수 없기 때문입니다. 도와 주실 수 있다면 ... 저는 수퍼 유저 액세스 권한이 있지만 장치를 다운로드 모드로 전환 할 때 패스를 요청하고 싶습니다. 미리 감사드립니다.

  2.   호세 다 미안

    뛰어난 공헌. 구독