GRUB beschermen met een wachtwoord (Linux)

Normaal gesproken brengen we een groot deel van onze tijd binnen door ongeoorloofde toegang te voorkomen aan onze teams: we configureren firewalls, gebruikersrechten, ACL's, creëren sterke wachtwoorden, enz.; maar we herinneren het ons zelden bescherm de kofferbak van onze apparatuur. Als een persoon fysieke toegang tot de computer heeft, kan hij deze opnieuw opstarten en grub-parameters wijzigen om beheerderstoegang tot de computer te krijgen. Voeg gewoon een '1' of 's' toe aan het einde van de GRUB 'kernel' regel om dat soort toegang te krijgen.

Om dit te voorkomen, kan GRUB worden beschermd door een wachtwoord te gebruiken, zodat het niet mogelijk is om de parameters te wijzigen als het niet bekend is.

Als je de GRUB-bootloader hebt geïnstalleerd (wat het meest gebruikelijk is als je de meest populaire Linux-distributies gebruikt), kun je elk GRUB-menu-item beschermen met een wachtwoord. Op deze manier zal elke keer dat u een besturingssysteem kiest om op te starten, u om het wachtwoord worden gevraagd dat u hebt opgegeven om het systeem op te starten. En als bonus: als uw computer wordt gestolen, hebben indringers geen toegang tot uw bestanden. Klinkt goed, toch?

GRUB 2

Voor elk Grub-item kan een gebruiker worden ingesteld met privileges om de parameters van de GRUB-items die verschijnen bij het opstarten van het systeem te wijzigen, behalve de superuser (degene die toegang heeft om Grub te wijzigen door op de "e" -toets te drukken). We zullen dit doen in het bestand /etc/grub.d/00_header. We openen het bestand met onze favoriete editor:

sudo nano /etc/grub.d/00_header

Plak op het einde het volgende:

kat < < EOF
set superusers=”gebruiker1″
wachtwoord gebruiker1 wachtwoord1
EOF

Waar gebruiker1 de superuser is, bijvoorbeeld:

kat < < EOF
set superusers=”supergebruiker”
superuser-wachtwoord 123456
EOF

Voeg ze hieronder toe om meer gebruikers aan te maken:

superuser-wachtwoord 123456

Het zou min of meer als volgt zijn:

kat < < EOF
set superusers = "supergebruiker"
superuser-wachtwoord 123456
wachtwoord gebruiker2 7890
EOF

Zodra we de gewenste gebruikers hebben vastgesteld, slaan we de wijzigingen op.

ramen beschermen 

Om Windows te beschermen moet je het bestand /etc/grub.d/30_os-prober bewerken.

sudo nano /etc/grub.d/30_os-prober

Zoek naar een regel code die zegt:

menu-item "${LONGNAME} (op ${DEVICE})" {

Het zou er zo uit moeten zien (waarbij superuser de naam is van de superuser):

menu-item "${LONGNAME} (op ${DEVICE})" –gebruikers supergebruiker {

 
Sla de wijzigingen op en voer uit:

sudo update-grub

Ik opende het bestand /boot/grub/grub.cfg:

sudo nano /boot/grub/grub.cfg

En waar is het Windows-item (zoiets als dit):

menuoptie "Windows XP Professional" {

verander het hierin (waarbij gebruiker2 de naam is van de gebruiker die toegangsrechten heeft):

menutry "Windows XP Professional" –gebruikers gebruiker2 {

Opnieuw opstarten en je bent klaar. Wanneer u nu Windows probeert te openen, wordt u om het wachtwoord gevraagd. Als u op de toets "e" drukt, wordt u ook om het wachtwoord gevraagd.

Bescherm Linux

Om de ingangen van de Linux-kernel te beschermen, bewerkt u het bestand /etc/grub.d/10_linux en zoekt u naar de regel die zegt:

menu "$1" {

Als u alleen wilt dat de superuser er toegang toe heeft, zou het er als volgt uit moeten zien:

menu-item "$1" --users gebruiker1 {

Als u wilt dat een tweede gebruiker toegang krijgt tot:

menu-item "$1" –gebruikers gebruiker2 {

U kunt de invoer van de geheugencontrole ook beschermen door het bestand /etc/grub.d/20_memtest te bewerken:

menu-item "Geheugentest (memtest86+)" –users superuser {

Bescherm alle inzendingen

Voer het volgende uit om alle vermeldingen te beschermen:

sudo sed -i -e '/^menuentry /s/ {/ –users superuser {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os-prober /etc/ grub.d/40_custom

Voer het volgende uit om deze stap ongedaan te maken:

sudo sed -i -e '/^menuentry /s/ –users superuser[/B] {/ {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os- sonde /etc/grub.d/40_custom

GRUB

Laten we beginnen met het openen van de GRUB-omgeving. Ik opende een terminal en typte:

rooien

Vervolgens heb ik het volgende commando ingevoerd:

md5crypt

Het zal u vragen om het wachtwoord dat u wilt gebruiken. Typ het en druk op Enter. U krijgt een versleuteld wachtwoord, dat u zeer zorgvuldig moet bewaken. Open nu met beheerdersrechten het bestand /boot/grub/menu.lst met uw favoriete teksteditor:

sudo gedit /boot/grub/menu.lst

Om het wachtwoord in te stellen voor de GRUB-menu-items van uw keuze, moet u het volgende toevoegen aan elk van de items die u wilt beschermen:

wachtwoord --md5 mijn_wachtwoord

Waar my_password het (gecodeerde) wachtwoord zou zijn dat wordt geretourneerd door md5crypt: Voor:

titel Ubuntu, kernel 2.6.8.1-2-386 (herstelmodus)
root (hd1,2)
kernel /boot/vmlinuz-2.6.8.1-2-386 root=/dev/hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386

dan:

titel Ubuntu, kernel 2.6.8.1-2-386 (herstelmodus)
root (hd1,2)
kernel /boot/vmlinuz-2.6.8.1-2-386 root=/dev/hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Sla het bestand op en start opnieuw op. Zo gemakkelijk! Om te voorkomen dat niet alleen een kwaadwillende de configuratieparameters van het beschermde item wijzigt, maar ook dat systeem niet eens kan starten, kunt u een regel toevoegen in het "beschermde" item, na de titelparameter. Naar ons voorbeeld zou het er ongeveer zo uitzien:

titel Ubuntu, kernel 2.6.8.1-2-386 (herstelmodus)
slot
root (hd1,2)
kernel /boot/vmlinuz-2.6.8.1-2-386 root=/dev/hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

De volgende keer dat iemand dat systeem wil opstarten, moet hij het wachtwoord invoeren.

bron: delanover & MakeUseOf & Ubuntu-fora & elavontwikkelaar