Kā aizsargāt GRUB ar paroli (Linux)

Parasti mēs pavadām labu daļu sava laika novērstu nesankcionētu piekļuvi mūsu komandām: mēs konfigurējam ugunsmūrus, lietotāju atļaujas, ACL, izveidojam spēcīgas paroles utt. bet mēs reti atceramies aizsargātu mūsu aprīkojuma palaišanu. Ja personai ir fiziska piekļuve datoram, tā var to restartēt un mainīt GRUB parametrus lai iegūtu administratora piekļuvi datoram. Vienkārši pievienojiet “1” vai “s” GRUB “kodola” rindas beigām, lai iegūtu šāda veida piekļuvi.

Lai to izvairītos, jūs varat aizsargāt GRUB, izmantojot paroli, lai, ja tā nav zināma, nebūtu iespējams modificēt tā parametrus.

Ja jums ir instalēts GRUB sāknēšanas iekrāvējs (tas ir visizplatītākais, ja izmantojat populārākos Linux izplatījumus), katru GRUB izvēlnes ierakstu varat aizsargāt ar paroli. Tādā veidā katru reizi, kad izvēlaties operētājsistēmu sāknēšanai, tā prasīs ievadīto paroli, lai sāktu sistēmu. Un kā bonuss, ja jūsu dators tiek nozagts, iebrucēji nevarēs piekļūt jūsu failiem. Izklausās labi, vai ne?

GRUB 2

Katram Grub ierakstam jūs varat izveidot lietotāju ar tiesībām modificēt ierakstu parametrus, kas parādās GRUB, kad sistēma sāk darboties, izņemot superlietotāju (to, kuram ir piekļuve, lai modificētu Grub, nospiežot taustiņu “e”). Mēs to izdarīsim failā /etc/grub.d/00_header. Mēs atveram failu ar mūsu iecienīto redaktoru:

sudo nano /etc/grub.d/00_header

Beigās ielīmējiet šo:

kaķis < < EOF
set superusers=”user1″
parole lietotājs1 parole1
EOF

Ja lietotājs1 ir superlietotājs, piemēram:

kaķis < < EOF
set superusers = "superlietotājs"
galvenā lietotāja parole 123456
EOF

Lai izveidotu vairāk lietotāju, pievienojiet tos tālāk:

galvenā lietotāja parole 123456

Tas izskatās vairāk vai mazāk šādi:

kaķis < < EOF
iestatīt superlietotāju = superlietotāju
galvenā lietotāja parole 123456
paroles lietotājs2 7890
EOF

Kad esam izveidojuši vēlamos lietotājus, izmaiņas saglabājam.

Aizsargājiet Windows 

Lai aizsargātu Windows, jums ir jārediģē fails /etc/grub.d/30_os-prober.

sudo nano /etc/grub.d/30_os-prober

Meklējiet koda rindu, kurā teikts:

menuentry "$ {LONGNAME} (par $ {DEVICE}") {

Tam vajadzētu izskatīties šādi (superlietotājs ir superlietotāja vārds):

menuentry "$ {LONGNAME} (par $ {DEVICE})" - lietotāju superlietotājs {

 
Saglabājiet izmaiņas un palaidiet:

sudo update-grub

Es atvēru failu /boot/grub/grub.cfg:

sudo nano /boot/grub/grub.cfg

Un kur ir Windows ieraksts (kaut kas līdzīgs šim):

menuentry "Windows XP Professional" {

nomainiet to uz šo (lietotājs2 ir tā lietotāja vārds, kuram ir piekļuves tiesības):

menuentry "Windows XP Professional" - lietotājs user2 {

Pārstartējiet un dodieties. Tagad, mēģinot ievadīt sistēmu Windows, tā lūgs paroli. Nospiežot taustiņu "e", tas arī prasīs paroli.

Aizsargājiet Linux

Lai aizsargātu Linux kodola ierakstus, rediģējiet failu /etc/grub.d/10_linux un meklējiet rindiņu, kurā teikts:

menuentry "$ 1" {

Ja vēlaties, lai tikai superlietotājs tam varētu piekļūt, tam vajadzētu izskatīties šādi:

menuentry "$ 1" - lietotājs user1 {

Ja vēlaties, lai otrs lietotājs varētu piekļūt:

menuentry "$ 1" - lietotājs user2 {

Varat arī aizsargāt ierakstu no atmiņas pārbaudes, rediģējot failu /etc/grub.d/20_memtest:

menuentry "Atmiņas pārbaude (memtest86 +)" - lietotāju superlietotājs {

Aizsargājiet visus ierakstus

Lai aizsargātu visus palaistos ierakstus:

sudo sed -i -e '/ ^ menuentry / s / {/ –lietotāju superlietotājs {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os-prober / etc / grub.d / 40_pielāgots

Lai atsauktu šo darbību, palaidiet:

sudo sed -i -e '/ ^ menuentry / s / –lietotāju superlietotājs [/ B] {/ {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os- prober /etc/grub.d/40_custom

GRUB

Sāksim ar GRUB vides atvēršanu. Es atvēru termināli un uzrakstīju:

izlauzt

Tad es ievadīju šādu komandu:

md5crypt

Tas prasīs paroli, kuru vēlaties izmantot. Ierakstiet to un ievadiet perison. Jūs saņemsiet šifrētu paroli, kas jums jāglabā ļoti uzmanīgi. Tagad ar administratora atļaujām es atvēru failu /boot/grub/menu.lst ar iecienītāko teksta redaktoru:

sudo gedit /boot/grub/menu.lst

Lai pievienotu paroli izvēlētajiem GRUB izvēlnes ierakstiem, katram no aizsargājamajiem ierakstiem jāpievieno šāda informācija:

parole - md5 mans_parole

Kur my_password būtu (šifrēta) parole, kuru atgrieza md5crypt: Pirms:

nosaukums Ubuntu, kodols 2.6.8.1-2-386 (atkopšanas režīms)
root (hd1,2)
kodols /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro viens
initrd /boot/initrd.img-2.6.8.1-2-386

Pēc:

nosaukums Ubuntu, kodols 2.6.8.1-2-386 (atkopšanas režīms)
root (hd1,2)
kodols /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro viens
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Saglabājiet failu un restartējiet. Tik vienkārši! Lai izvairītos no tā, ka ļaunprātīga persona var mainīt aizsargātā ieraksta konfigurācijas parametrus, bet arī to, ka nevar pat palaist šo sistēmu, ierakstā "aizsargāts" pēc nosaukuma parametra varat pievienot rindu. Sekojot mūsu piemēram, tas izskatās apmēram šādi:

nosaukums Ubuntu, kodols 2.6.8.1-2-386 (atkopšanas režīms)
atslēga
root (hd1,2)
kodols /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro viens
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Nākamreiz, kad kāds vēlas palaist šo sistēmu, viņam būs jāievada parole.

Fuente: Delanovera & Izmantot & Ubuntu forumi & Attīstītājs