Kaip apsaugoti GRUB naudojant slaptažodį („Linux“)

Paprastai mes praleidžiame didelę laiko dalį užkirsti kelią neteisėtai prieigai mūsų komandoms: konfigūruojame ugniasienes, vartotojų teises, ACL, sukuriame tvirtus slaptažodžius ir kt. bet mes retai prisimename apsaugoti mūsų įrangos paleidimą.

Jei asmuo turi fizinę prieigą prie kompiuterio, jis gali jį paleisti iš naujo ir pakeisti GRUB parametrus gauti administratoriaus prieigą prie kompiuterio. Paprasčiausiai pridėkite „1“ arba „s“ prie GRUB „branduolio“ eilutės pabaigos, kad gautumėte tokią prieigą.


Norėdami to išvengti, GRUB gali būti apsaugotas naudojant slaptažodį, kad, jei jis nėra žinomas, nebūtų įmanoma modifikuoti jo parametrų.

Jei turite įdiegtą GRUB įkrovos įkroviklį (kuris dažniausiai pasitaiko, jei naudojate populiariausius „Linux“ paskirstymus), kiekvieną GRUB meniu įrašą galite apsaugoti slaptažodžiu. Tokiu būdu kaskart, kai pasirinksite įkrovimo operacinę sistemą, ji paprašys jūsų nurodyto slaptažodžio, kad paleistumėte sistemą. Be to, jei jūsų kompiuteris bus pavogtas, įsibrovėliai negalės pasiekti jūsų failų. Skamba gerai, tiesa?

2 GRUB

Kiekvienam „Grub“ įrašui gali būti nustatytas vartotojas, turintis privilegijas modifikuoti įrašų, kurie GRUB atsiranda paleidus sistemą, parametrus, išskyrus supernaudotoją (tas, kuris turi prieigą modifikuoti „Grub“ paspausdamas „e“ klavišą). Tai padarysime faile /etc/grub.d/00_header. Atidarome failą su mėgstamu redaktoriumi:

sudo nano /etc/grub.d/00_header

Pabaigoje įklijuokite:

kačių rinkinio supernaudotojai = ”user1 ″
slaptažodis vartotojas1 slaptažodis1
EOF

Kur vartotojas1 yra supernaudotojas, pavyzdys:

kačių rinkinio supernaudotojai = „superuser“
vartotojo vardas 123456
EOF

Norėdami sukurti daugiau vartotojų, pridėkite juos toliau:

vartotojo vardas 123456

Tai atrodytų daugmaž taip:

kačių rinkinio supernaudotojai = "supernaudotojas"
vartotojo vardas 123456
slaptažodis user2 7890
EOF

Sukūrę norimus vartotojus, pakeitimus išsaugome.

Apsaugokite „Windows“ 

Norėdami apsaugoti „Windows“, turite redaguoti failą /etc/grub.d/30_os-prober.

sudo nano /etc/grub.d/30_os-prober

Ieškokite kodo eilutės, kurioje parašyta:

meniu „$ {LONGNAME} (naudojant $ {DEVICE})“ {

Tai turėtų atrodyti taip (supernaudotojas yra supernaudotojo vardas):

menuentry „$ {LONGNAME} ($ {DEVICE})“ - vartotojų supernaudotojas {

 
Išsaugokite pakeitimus ir vykdykite:

sudo update-grub

Atidariau failą /boot/grub/grub.cfg:

sudo nano /boot/grub/grub.cfg

Kur yra „Windows“ įrašas (kažkas panašaus į šį):

meniu „Windows XP Professional“ {

pakeiskite jį taip (user2 yra vartotojo, turinčio prieigos teises, vardas):

menuentry „Windows XP Professional“ - vartotojai user2 {

Perkraukite ir eikite. Dabar, kai bandysite įvesti „Windows“, jūsų paprašys slaptažodžio. Jei paspausite „e“ klavišą, jis taip pat paprašys slaptažodžio.

Apsaugokite „Linux“

Norėdami apsaugoti „Linux“ branduolio įrašus, redaguokite failą /etc/grub.d/10_linux ir ieškokite eilutės, kurioje sakoma:

valgiaraštis „$ 1“ {

Jei norite, kad prie jo galėtų prisijungti tik supernaudotojas, jis turėtų atrodyti taip:

menuentry „$ 1“ - vartotojo vartotojas1 {

Jei norite, kad antrasis vartotojas galėtų pasiekti:

menuentry „$ 1“ - vartotojai user2 {

Taip pat galite apsaugoti įrašą nuo atminties patikrinimo redaguodami failą /etc/grub.d/20_memtest:

menuentry „Atminties testas (memtest86 +)“ - vartotojo supernaudotojas {

Apsaugokite visus įrašus

Norėdami apsaugoti visus paleistus įrašus:

sudo sed -i -e '/ ^ menuentry / s / {/ –naudotojų supernaudotojas {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os-prober / etc / grub.d / 40_custom

Norėdami anuliuoti šį veiksmą, vykdykite:

sudo sed -i -e '/ ^ menuentry / s / –naudotojų supernaudotojas [/ B] {/ {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os- prober /etc/grub.d/40_custom

GRUB

Pradėkime nuo GRUB aplinkos atidarymo. Atidariau terminalą ir parašiau:

Grub

Tada aš įvedžiau šią komandą:

md5crypt

Ji paprašys jūsų slaptažodžio, kurį norite naudoti. Įveskite jį ir perison Enter. Gausite užkoduotą slaptažodį, kurį turėsite saugoti labai atsargiai. Dabar, turėdamas administratoriaus teises, atidariau failą /boot/grub/menu.lst su savo mėgstamu teksto redaktoriumi:

sudo gedit /boot/grub/menu.lst

Jei norite pridėti slaptažodį prie pageidaujamų GRUB meniu įrašų, prie kiekvieno įrašo, kurį norite apsaugoti, turite pridėti:

slaptažodis - md5 mano slaptažodis

Kur „my_password“ bus (užšifruotas) slaptažodis, kurį grąžins „md5crypt“: Prieš:

pavadinimas „Ubuntu“, 2.6.8.1-2-386 branduolys (atkūrimo režimas)
root (hd1,2)
branduolys /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro vienas
initrd /boot/initrd.img-2.6.8.1-2-386

Po:

pavadinimas „Ubuntu“, 2.6.8.1-2-386 branduolys (atkūrimo režimas)
root (hd1,2)
branduolys /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro vienas
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Išsaugokite failą ir paleiskite iš naujo. Tai lengva! Norėdami išvengti ne tik to, kad piktavalis gali pakeisti saugomo įrašo konfigūracijos parametrus, bet ir to, kad net negali paleisti tos sistemos, galite įrašyti eilutę įraše „apsaugotas“, po pavadinimo parametru. Sekant mūsų pavyzdžiu, tai atrodytų maždaug taip:

pavadinimas „Ubuntu“, 2.6.8.1-2-386 branduolys (atkūrimo režimas)
spyna
root (hd1,2)
branduolys /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro vienas
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Kai kitą kartą kažkas norės paleisti tą sistemą, jis turės įvesti slaptažodį.

Fuente: Delanoveris & Pasinaudoti & „Ubuntu“ forumai & „Elavdeveloper“


Straipsnio turinys atitinka mūsų principus redakcijos etika. Norėdami pranešti apie klaidą, spustelėkite čia.

2 komentarai, palikite savo

Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *

*

*

  1. Atsakingas už duomenis: Miguel Ángel Gatón
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.

  1.   Marcelo miranda sakė

    Sveiki, noriu pagalbos, prašau, noriu apsaugoti savo „Android“ sistemos branduolį slaptažodžiu, nes jei įrenginys bus pavogtas, jie pakeis ROM ir aš niekada negalėčiau jo atkurti! Jei galite man padėti ... Aš turiu prieigą prie vartotojo, bet noriu, kad manęs paprašytų leidimo, kai įjungiate įrenginį atsisiuntimo režimu. Ačiū iš anksto.

  2.   Jose damianas sakė

    Puikus indėlis. Prenumeruojama