Cara melindungi GRUB dengan kata laluan (Linux)

Kami biasanya menghabiskan banyak masa mengelakkan akses yang tidak dibenarkan kepada pasukan kami: kami mengkonfigurasi firewall, izin pengguna, ACL, membuat kata laluan yang kuat, dan lain-lain; tapi jarang kita ingat melindungi permulaan peralatan kami. Sekiranya seseorang mempunyai akses fizikal ke komputer, mereka boleh menghidupkannya semula dan ubah parameter GRUB untuk mendapatkan akses pentadbir ke komputer. Cukup tambahkan '1' atau 's' ke hujung baris 'kernel' GRUB untuk mendapatkan akses seperti itu.

Untuk mengelakkan ini, anda dapat melindungi GRUB dengan menggunakan kata laluan, sehingga jika tidak diketahui, tidak mungkin mengubah parameternya.

Sekiranya anda memasang pemuat boot GRUB (yang paling biasa jika anda menggunakan pengedaran Linux yang paling popular), anda boleh melindungi setiap entri dalam menu GRUB dengan kata laluan. Dengan cara ini, setiap kali anda memilih sistem operasi untuk boot, ia akan meminta kata laluan yang anda nyatakan untuk boot sistem. Dan sebagai bonus, jika komputer anda dicuri, penceroboh tidak akan dapat mengakses fail anda. Kedengarannya bagus, bukan?

GRUB 2

Untuk setiap entri Grub, Anda dapat menetapkan pengguna dengan hak istimewa untuk mengubah parameter entri yang muncul di GRUB ketika sistem dimulakan, selain dari pengguna super (orang yang memiliki akses untuk mengubah Grub dengan menekan kekunci "e"). Kami akan melakukan ini dalam fail /etc/grub.d/00_header. Kami membuka fail dengan editor kegemaran kami:

sudo nano /etc/grub.d/00_header

Pada akhir tampal yang berikut:

kucing << EOF
set superusers=”pengguna1″
kata laluan pengguna1 kata laluan1
EOF

Di mana pengguna1 adalah pengguna berlebihan, contoh:

kucing << EOF
tetapkan superusers=”superuser”
kata laluan superuser 123456
EOF

Untuk membuat lebih banyak pengguna, tambahkan mereka di bawah:

kata laluan superuser 123456

Ia akan kelihatan kurang lebih seperti berikut:

kucing << EOF
tetapkan superusers="superuser"
kata laluan superuser 123456
pengguna kata laluan2 7890
EOF

Setelah kami menetapkan pengguna yang kami mahukan, kami menyimpan perubahannya.

Lindungi Windows 

Untuk melindungi Windows, anda mesti mengedit fail /etc/grub.d/30_os-prober.

sudo nano /etc/grub.d/30_os-prober

Cari barisan kod yang mengatakan:

menuentry "$ {LONGNAME} (pada $ {DEVICE})" {

Nampaknya seperti ini (superuser adalah nama superuser):

menuentry "$ {LONGNAME} (pada $ {DEVICE})" - pengguna superuser {

 
Simpan perubahan dan jalankan:

sudo update-grub

Saya membuka fail /boot/grub/grub.cfg:

sudo nano /boot/grub/grub.cfg

Dan di mana entri Windows (seperti ini):

menuentry "Windows XP Professional" {

ubah ke ini (user2 menjadi nama pengguna yang mempunyai hak akses):

menuentry "Windows XP Professional" - pengguna user2 {

Reboot dan pergi. Sekarang, apabila anda cuba memasukkan Windows, ia akan meminta kata laluan. Sekiranya anda menekan kekunci "e", ia juga akan meminta kata laluan.

Lindungi Linux

Untuk melindungi entri kernel Linux, edit fail /etc/grub.d/10_linux, dan cari baris yang mengatakan:

menu "$ 1" {

Sekiranya anda hanya mahukan pengguna super dapat mengaksesnya, ia akan kelihatan seperti ini:

menuentry "$ 1" - pengguna pengguna1 {

Sekiranya anda mahukan pengguna kedua dapat mengakses:

menuentry "$ 1" - pengguna pengguna2 {

Anda juga dapat melindungi entri dari pemeriksaan memori, dengan mengedit fail /etc/grub.d/20_memtest:

menuentry "Ujian memori (memtest86 +)" –pengguna superuser {

Lindungi semua penyertaan

Untuk melindungi semua penyertaan, jalankan:

sudo sed -i -e '/ ^ menuentry / s / {/ –usus superuser {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os-prober / etc / grub.d / 40_custom

Untuk membuat asal langkah ini, jalankan:

sudo sed -i -e '/ ^ menuentry / s / –users superuser [/ B] {/ {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os- prober /etc/grub.d/40_custom

GRUB

Mari mulakan dengan membuka persekitaran GRUB. Saya membuka terminal dan menulis:

Grub

Kemudian, saya memasukkan arahan berikut:

md5crypt

Ia akan meminta kata laluan yang anda mahu gunakan. Taipkan dan perison Enter. Anda akan mendapat kata laluan yang dienkripsi, yang harus anda simpan dengan berhati-hati. Sekarang, dengan izin pentadbir, saya membuka fail /boot/grub/menu.lst dengan editor teks kegemaran anda:

sudo gedit /boot/grub/menu.lst

Untuk meletakkan kata laluan ke entri menu GRUB yang anda sukai, anda harus menambahkan yang berikut pada setiap entri yang ingin anda lindungi:

kata laluan --md5 my_password

Di mana kata laluan my_password (disulitkan) dikembalikan oleh md5crypt: Sebelum:

tajuk Ubuntu, kernel 2.6.8.1-2-386 (mod pemulihan)
akar (hd1,2)
kernel /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro tunggal
initrd /boot/initrd.img-2.6.8.1-2-386

Selepas:

tajuk Ubuntu, kernel 2.6.8.1-2-386 (mod pemulihan)
akar (hd1,2)
kernel /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro tunggal
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Simpan fail dan but semula. Semudah itu! Untuk mengelakkannya, bukan hanya orang jahat dapat mengubah parameter konfigurasi entri yang dilindungi, tetapi juga bahawa mereka bahkan tidak dapat memulakan sistem itu, Anda juga dapat menambahkan baris dalam entri "dilindungi", setelah parameter judul. Mengikut contoh kami, ia akan kelihatan seperti ini:

tajuk Ubuntu, kernel 2.6.8.1-2-386 (mod pemulihan)
mengunci
akar (hd1,2)
kernel /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro tunggal
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Pada masa berikutnya seseorang ingin memulakan sistem itu, mereka harus memasukkan kata laluan.

Fuente: delanover & Kegunaan & Forum Ubuntu & elavdeveloper