Slik beskytter du GRUB med et passord (Linux)

Vi bruker vanligvis en god del av tiden vår på forhindre uautorisert tilgang til teamene våre: vi konfigurerer brannmurer, brukertillatelser, ACL-er, lager sterke passord osv. men vi husker sjelden beskytte oppstart av utstyret vårt. Hvis en person har fysisk tilgang til datamaskinen, kan de starte den på nytt og endre GRUB-parametere for å få administratoradgang til datamaskinen. Bare legg til en '1' eller 's' på slutten av GRUB 'kernel' -linjen for å få den slags tilgang.

For å unngå dette kan GRUB beskyttes ved hjelp av et passord, slik at hvis det ikke er kjent, kan ikke parametrene endres.

Hvis du har GRUB boot loader installert (som er vanligst hvis du bruker de mest populære Linux-distribusjonene), kan du beskytte hver oppføring i GRUB-menyen med et passord. På denne måten vil den be deg om passordet du har angitt for å starte systemet hver gang du velger et operativsystem å starte. Og som en bonus, hvis datamaskinen din blir stjålet, vil ikke inntrengere få tilgang til filene dine. Høres bra ut, ikke sant?

GRUB2

For hver Grub-oppføring kan du opprette en bruker med privilegier til å endre parametrene til oppføringene som vises i GRUB ved systemoppstart, bortsett fra superbrukeren (den som har tilgang til å endre Grub ved å trykke “e” -tasten). Vi vil gjøre dette i filen /etc/grub.d/00_header. Vi åpner filen med vår favorittredaktør:

sudo nano /etc/grub.d/00_header

På slutten limer du inn følgende:

katt < < EOF
set superusers=”bruker1″
passord bruker1 passord1
EOF

Hvor bruker1 er superbruker, eksempel:

katt < < EOF
set superbrukere = "superbruker"
superbrukerpassord 123456
EOF

For å opprette flere brukere, legg dem til nedenfor:

superbrukerpassord 123456

Det vil se mer eller mindre ut som følger:

katt < < EOF
set superusers="superuser"
superbrukerpassord 123456
passord bruker2 7890
EOF

Når vi har etablert brukerne vi ønsker, lagrer vi endringene.

Beskytt Windows 

For å beskytte Windows må du redigere filen /etc/grub.d/30_os-prober.

sudo nano /etc/grub.d/30_os-prober

Se etter en kodelinje som sier:

menyoppføring "$ {LONGNAME} (på $ {DEVICE})" {

Det skal se slik ut (superbruker er navnet på superbrukeren):

menuentry "$ {LONGNAME} (på $ {DEVICE})" - superbruker {

 
Lagre endringene og kjør:

sudo update-grub

Jeg åpnet filen /boot/grub/grub.cfg:

sudo nano /boot/grub/grub.cfg

Og hvor er Windows-oppføringen (noe sånt som dette):

menyoppføring "Windows XP Professional" {

endre det til dette (bruker2 er navnet på brukeren som har tilgangsrettigheter):

menuentry "Windows XP Professional" –bruker bruker2 {

Start på nytt og gå. Nå, når du prøver å gå inn i Windows, vil den be deg om passordet. Hvis du trykker på "e" -tasten, vil den også be om passordet.

Beskytt Linux

For å beskytte Linux-kjerneoppføringene, rediger du filen /etc/grub.d/10_linux, og se etter linjen som sier:

menyoppføring "$ 1" {

Hvis du bare vil at superbrukeren skal få tilgang til den, bør den se slik ut:

menyoppføring "$ 1" –brukerbruker1 {

Hvis du vil at en annen bruker skal få tilgang:

menuentry "$ 1" –bruker bruker2 {

Du kan også beskytte oppføringen fra minnekontrollen ved å redigere /etc/grub.d/20_memtest-filen:

menuentry "Memory test (memtest86 +)" –brukerne superbruker {

Beskytt alle oppføringene

For å beskytte alle kjørte oppføringer:

sudo sed -i -e '/ ^ menuentry / s / {/ –brukerne superbruker {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os-prober / etc / grub.d / 40_custom

For å angre dette trinnet, kjør:

sudo sed -i -e '/ ^ menuentry / s / –bruker superbruker [/ B] {/ {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os- prober /etc/grub.d/40_custom

GRUB

La oss starte med å åpne GRUB-miljøet. Jeg åpnet en terminal og skrev:

grub

Så skrev jeg inn følgende kommando:

md5crypt

Det vil be deg om passordet du vil bruke. Skriv det inn og perison Enter. Du får et kryptert passord, som du må holde veldig nøye. Nå, med administratorrettigheter, åpnet jeg /boot/grub/menu.lst filen med favoritt teksteditor:

sudo gedit /boot/grub/menu.lst

For å plassere passordet til GRUB-menypostene du foretrekker, må du legge til følgende i hver av oppføringene du vil beskytte:

passord --md5 my_password

Hvor my_password vil være det (krypterte) passordet som returneres av md5crypt: Før:

tittel Ubuntu, kjerne 2.6.8.1-2-386 (gjenopprettingsmodus)
rot (hd1,2)
kjerne /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386

deretter:

tittel Ubuntu, kjerne 2.6.8.1-2-386 (gjenopprettingsmodus)
rot (hd1,2)
kjerne /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Lagre filen og start den på nytt. Så lett! For å unngå, ikke bare at en ondsinnet person kan endre konfigurasjonsparametrene for den beskyttede oppføringen, men også at de ikke en gang kan starte systemet, kan du legge til en linje i den "beskyttede" oppføringen, etter tittelparameteren. Etter vårt eksempel, ville det se ut slik:

tittel Ubuntu, kjerne 2.6.8.1-2-386 (gjenopprettingsmodus)
låse
rot (hd1,2)
kjerne /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Neste gang noen vil starte systemet, må de oppgi passordet.

Fuente: delanover & MakeUseOf & Ubuntu-fora & Elavutvikler