Kaip apsaugoti GRUB naudojant slaptažodį („Linux“)

Paprastai mes praleidžiame didelę laiko dalį užkirsti kelią neteisėtai prieigai mūsų komandoms: konfigūruojame ugniasienes, vartotojų teises, ACL, sukuriame tvirtus slaptažodžius ir kt. bet mes retai prisimename apsaugoti mūsų įrangos paleidimą. Jei asmuo turi fizinę prieigą prie kompiuterio, jis gali jį paleisti iš naujo ir pakeisti GRUB parametrus gauti administratoriaus prieigą prie kompiuterio. Paprasčiausiai pridėkite „1“ arba „s“ prie GRUB „branduolio“ eilutės pabaigos, kad gautumėte tokią prieigą.

Norėdami to išvengti, GRUB gali būti apsaugotas naudojant slaptažodį, kad, jei jis nėra žinomas, nebūtų įmanoma modifikuoti jo parametrų.

Jei turite įdiegtą GRUB įkrovos įkroviklį (kuris dažniausiai pasitaiko, jei naudojate populiariausius „Linux“ paskirstymus), kiekvieną GRUB meniu įrašą galite apsaugoti slaptažodžiu. Tokiu būdu kaskart, kai pasirinksite įkrovimo operacinę sistemą, ji paprašys jūsų nurodyto slaptažodžio, kad paleistumėte sistemą. Be to, jei jūsų kompiuteris bus pavogtas, įsibrovėliai negalės pasiekti jūsų failų. Skamba gerai, tiesa?

2 GRUB

Kiekvienam „Grub“ įrašui gali būti nustatytas vartotojas, turintis privilegijas modifikuoti įrašų, kurie GRUB atsiranda paleidus sistemą, parametrus, išskyrus supernaudotoją (tas, kuris turi prieigą modifikuoti „Grub“ paspausdamas „e“ klavišą). Tai padarysime faile /etc/grub.d/00_header. Atidarome failą su mėgstamu redaktoriumi:

sudo nano /etc/grub.d/00_header

Pabaigoje įklijuokite:

katė < < EOF
set superusers=”user1″
slaptažodis vartotojas1 slaptažodis1
EOF

Kur vartotojas1 yra supernaudotojas, pavyzdys:

katė < < EOF
set superusers = "supervartotojas"
vartotojo vardas 123456
EOF

Norėdami sukurti daugiau vartotojų, pridėkite juos toliau:

vartotojo vardas 123456

Tai atrodytų daugmaž taip:

katė < < EOF
nustatyti superusers="supervartotoją"
vartotojo vardas 123456
slaptažodis user2 7890
EOF

Sukūrę norimus vartotojus, pakeitimus išsaugome.

Apsaugokite „Windows“ 

Norėdami apsaugoti „Windows“, turite redaguoti failą /etc/grub.d/30_os-prober.

sudo nano /etc/grub.d/30_os-prober

Ieškokite kodo eilutės, kurioje parašyta:

meniu „$ {LONGNAME} (naudojant $ {DEVICE})“ {

Tai turėtų atrodyti taip (supernaudotojas yra supernaudotojo vardas):

menuentry „$ {LONGNAME} ($ {DEVICE})“ - vartotojų supernaudotojas {

 
Išsaugokite pakeitimus ir vykdykite:

sudo update-grub

Atidariau failą /boot/grub/grub.cfg:

sudo nano /boot/grub/grub.cfg

Kur yra „Windows“ įrašas (kažkas panašaus į šį):

meniu „Windows XP Professional“ {

pakeiskite jį taip (user2 yra vartotojo, turinčio prieigos teises, vardas):

menuentry „Windows XP Professional“ - vartotojai user2 {

Perkraukite ir eikite. Dabar, kai bandysite įvesti „Windows“, jūsų paprašys slaptažodžio. Jei paspausite „e“ klavišą, jis taip pat paprašys slaptažodžio.

Apsaugokite „Linux“

Norėdami apsaugoti „Linux“ branduolio įrašus, redaguokite failą /etc/grub.d/10_linux ir ieškokite eilutės, kurioje sakoma:

valgiaraštis „$ 1“ {

Jei norite, kad prie jo galėtų prisijungti tik supernaudotojas, jis turėtų atrodyti taip:

menuentry „$ 1“ - vartotojo vartotojas1 {

Jei norite, kad antrasis vartotojas galėtų pasiekti:

menuentry „$ 1“ - vartotojai user2 {

Taip pat galite apsaugoti įrašą nuo atminties patikrinimo redaguodami failą /etc/grub.d/20_memtest:

menuentry „Atminties testas (memtest86 +)“ - vartotojo supernaudotojas {

Apsaugokite visus įrašus

Norėdami apsaugoti visus paleistus įrašus:

sudo sed -i -e '/ ^ menuentry / s / {/ –naudotojų supernaudotojas {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os-prober / etc / grub.d / 40_custom

Norėdami anuliuoti šį veiksmą, vykdykite:

sudo sed -i -e '/ ^ menuentry / s / –naudotojų supernaudotojas [/ B] {/ {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os- prober /etc/grub.d/40_custom

GRUB

Pradėkime nuo GRUB aplinkos atidarymo. Atidariau terminalą ir parašiau:

Grub

Tada aš įvedžiau šią komandą:

md5crypt

Ji paprašys jūsų slaptažodžio, kurį norite naudoti. Įveskite jį ir perison Enter. Gausite užkoduotą slaptažodį, kurį turėsite saugoti labai atsargiai. Dabar, turėdamas administratoriaus teises, atidariau failą /boot/grub/menu.lst su savo mėgstamu teksto redaktoriumi:

sudo gedit /boot/grub/menu.lst

Jei norite pridėti slaptažodį prie pageidaujamų GRUB meniu įrašų, prie kiekvieno įrašo, kurį norite apsaugoti, turite pridėti:

slaptažodis - md5 mano slaptažodis

Kur „my_password“ bus (užšifruotas) slaptažodis, kurį grąžins „md5crypt“: Prieš:

pavadinimas „Ubuntu“, 2.6.8.1-2-386 branduolys (atkūrimo režimas)
root (hd1,2)
branduolys /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro vienas
initrd /boot/initrd.img-2.6.8.1-2-386

Po:

pavadinimas „Ubuntu“, 2.6.8.1-2-386 branduolys (atkūrimo režimas)
root (hd1,2)
branduolys /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro vienas
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Išsaugokite failą ir paleiskite iš naujo. Tai lengva! Norėdami išvengti ne tik to, kad piktavalis gali pakeisti saugomo įrašo konfigūracijos parametrus, bet ir to, kad net negali paleisti tos sistemos, galite įrašyti eilutę įraše „apsaugotas“, po pavadinimo parametru. Sekant mūsų pavyzdžiu, tai atrodytų maždaug taip:

pavadinimas „Ubuntu“, 2.6.8.1-2-386 branduolys (atkūrimo režimas)
spyna
root (hd1,2)
branduolys /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro vienas
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Kai kitą kartą kažkas norės paleisti tą sistemą, jis turės įvesti slaptažodį.

Fuente: Delanoveris & Pasinaudoti & „Ubuntu“ forumai & „Elavdeveloper“