Vi bruker vanligvis en god del av tiden vår på forhindre uautorisert tilgang til teamene våre: vi konfigurerer brannmurer, brukertillatelser, ACL-er, lager sterke passord osv. men vi husker sjelden beskytte oppstart av utstyret vårt.
Hvis en person har fysisk tilgang til datamaskinen, kan de starte den på nytt og endre GRUB-parametere for å få administratoradgang til datamaskinen. Bare legg til en '1' eller 's' på slutten av GRUB 'kernel' -linjen for å få den slags tilgang. |
For å unngå dette kan GRUB beskyttes ved hjelp av et passord, slik at hvis det ikke er kjent, kan ikke parametrene endres.
Hvis du har GRUB boot loader installert (som er vanligst hvis du bruker de mest populære Linux-distribusjonene), kan du beskytte hver oppføring i GRUB-menyen med et passord. På denne måten vil den be deg om passordet du har angitt for å starte systemet hver gang du velger et operativsystem å starte. Og som en bonus, hvis datamaskinen din blir stjålet, vil ikke inntrengere få tilgang til filene dine. Høres bra ut, ikke sant?
GRUB2
For hver Grub-oppføring kan du opprette en bruker med privilegier til å endre parametrene til oppføringene som vises i GRUB ved systemoppstart, bortsett fra superbrukeren (den som har tilgang til å endre Grub ved å trykke “e” -tasten). Vi vil gjøre dette i filen /etc/grub.d/00_header. Vi åpner filen med vår favorittredaktør:
sudo nano /etc/grub.d/00_header
På slutten limer du inn følgende:
katt < < EOF
set superusers=”bruker1″
passord bruker1 passord1
EOF
Hvor bruker1 er superbruker, eksempel:
katt < < EOF
set superbrukere = "superbruker"
superbrukerpassord 123456
EOF
For å opprette flere brukere, legg dem til nedenfor:
superbrukerpassord 123456
Det vil se mer eller mindre ut som følger:
katt < < EOF
set superusers="superuser"
superbrukerpassord 123456
passord bruker2 7890
EOF
Når vi har etablert brukerne vi ønsker, lagrer vi endringene.
Beskytt Windows
For å beskytte Windows må du redigere filen /etc/grub.d/30_os-prober.
sudo nano /etc/grub.d/30_os-prober
Se etter en kodelinje som sier:
menyoppføring "$ {LONGNAME} (på $ {DEVICE})" {
Det skal se slik ut (superbruker er navnet på superbrukeren):
menuentry "$ {LONGNAME} (på $ {DEVICE})" - superbruker {
Lagre endringene og kjør:
sudo update-grub
Jeg åpnet filen /boot/grub/grub.cfg:
sudo nano /boot/grub/grub.cfg
Og hvor er Windows-oppføringen (noe sånt som dette):
menyoppføring "Windows XP Professional" {
endre det til dette (bruker2 er navnet på brukeren som har tilgangsrettigheter):
menuentry "Windows XP Professional" –bruker bruker2 {
Start på nytt og gå. Nå, når du prøver å gå inn i Windows, vil den be deg om passordet. Hvis du trykker på "e" -tasten, vil den også be om passordet.
Beskytt Linux
For å beskytte Linux-kjerneoppføringene, rediger du filen /etc/grub.d/10_linux, og se etter linjen som sier:
menyoppføring "$ 1" {
Hvis du bare vil at superbrukeren skal få tilgang til den, bør den se slik ut:
menyoppføring "$ 1" –brukerbruker1 {
Hvis du vil at en annen bruker skal få tilgang:
menuentry "$ 1" –bruker bruker2 {
Du kan også beskytte oppføringen fra minnekontrollen ved å redigere /etc/grub.d/20_memtest-filen:
menuentry "Memory test (memtest86 +)" –brukerne superbruker {
Beskytt alle oppføringene
For å beskytte alle kjørte oppføringer:
sudo sed -i -e '/ ^ menuentry / s / {/ –brukerne superbruker {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os-prober / etc / grub.d / 40_custom
For å angre dette trinnet, kjør:
sudo sed -i -e '/ ^ menuentry / s / –bruker superbruker [/ B] {/ {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os- prober /etc/grub.d/40_custom
GRUB
La oss starte med å åpne GRUB-miljøet. Jeg åpnet en terminal og skrev:
grub
Så skrev jeg inn følgende kommando:
md5crypt
Det vil be deg om passordet du vil bruke. Skriv det inn og perison Enter. Du får et kryptert passord, som du må holde veldig nøye. Nå, med administratorrettigheter, åpnet jeg /boot/grub/menu.lst filen med favoritt teksteditor:
sudo gedit /boot/grub/menu.lst
For å plassere passordet til GRUB-menypostene du foretrekker, må du legge til følgende i hver av oppføringene du vil beskytte:
passord --md5 my_password
Hvor my_password vil være det (krypterte) passordet som returneres av md5crypt: Før:
tittel Ubuntu, kjerne 2.6.8.1-2-386 (gjenopprettingsmodus)
rot (hd1,2)
kjerne /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386
deretter:
tittel Ubuntu, kjerne 2.6.8.1-2-386 (gjenopprettingsmodus)
rot (hd1,2)
kjerne /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs
Lagre filen og start den på nytt. Så lett! For å unngå, ikke bare at en ondsinnet person kan endre konfigurasjonsparametrene for den beskyttede oppføringen, men også at de ikke en gang kan starte systemet, kan du legge til en linje i den "beskyttede" oppføringen, etter tittelparameteren. Etter vårt eksempel, ville det se ut slik:
tittel Ubuntu, kjerne 2.6.8.1-2-386 (gjenopprettingsmodus)
låse
rot (hd1,2)
kjerne /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs
Neste gang noen vil starte systemet, må de oppgi passordet.
Fuente: delanover & MakeUseOf & Ubuntu-fora & Elavutvikler
Hei, jeg vil ha hjelp, vær så snill, jeg vil beskytte kjernen til Android-systemet mitt med et passord fordi hvis enheten blir stjålet, bytter de ROM og jeg kunne aldri gjenopprette det! Hvis du kan hjelpe meg ... Jeg har tilgang til superbruker, men jeg vil at det skal be meg om et pass når du setter enheten i nedlastingsmodus. Takk på forhånd.
Utmerket bidrag. Abonnert