Cum se protejează GRUB cu o parolă (Linux)

În mod normal, ne petrecem o bună parte din timp preveni accesul neautorizat către echipele noastre: configurăm firewall-uri, permisiuni de utilizator, ACL-uri, creăm parole puternice etc.; dar rar ne amintim protejați pornirea echipamentului nostru. Dacă cineva are acces fizic la computer, îl poate reporni și modificați parametrii GRUB pentru a obține acces de administrator la computer. Pur și simplu adăugați un „1” sau un „s” la sfârșitul liniei „kernel” GRUB pentru a obține acest tip de acces.

Pentru a evita acest lucru, GRUB poate fi protejat prin folosirea unei parole, astfel încât dacă nu este cunoscută, nu se va putea modifica parametrii acestuia.

Dacă aveți instalat bootloader-ul GRUB (ceea ce este cel mai comun dacă utilizați cele mai populare distribuții Linux), puteți proteja fiecare intrare din meniul GRUB cu o parolă. Astfel, de fiecare dată când alegeți un sistem de operare pentru pornire, acesta vă va cere parola pe care ați specificat-o pentru a porni sistemul. Și ca un bonus suplimentar, dacă computerul este furat, intrușii nu vor putea să vă acceseze fișierele. Sună bine, nu?

GRUB2

Pentru fiecare intrare Grub se poate stabili un utilizator cu privilegii de modificare a parametrilor intrărilor GRUB care apar la pornirea sistemului, în afară de superutilizatorul (cel care are acces să modifice Grub apăsând tasta „e”). Vom face acest lucru în fișierul /etc/grub.d/00_header. Deschidem fișierul cu editorul nostru preferat:

sudo nano /etc/grub.d/00_header

La final lipiți următoarele:

pisica < < EOF
set superusers="user1"
parola utilizator1 parola1
EOF

Unde user1 este superutilizatorul, exemplu:

pisica < < EOF
set superusers=”superutilizator”
parola de superutilizator 123456
EOF

Pentru a crea mai mulți utilizatori, adăugați-i mai jos:

parola de superutilizator 123456

Ar arăta mai mult sau mai puțin așa:

pisica < < EOF
set superusers="superuser"
parola de superutilizator 123456
parola user2 7890
EOF

Odată ce am stabilit utilizatorii pe care îi dorim, salvăm modificările.

Protejați Windows 

Pentru a proteja Windows, trebuie să editați fișierul /etc/grub.d/30_os-prober.

sudo nano /etc/grub.d/30_os-prober

Căutați o linie de cod care spune:

intrarea de meniu „${LONGNAME} (pe ${DEVICE})” {

Ar trebui să arate astfel (superutilizator fiind numele superutilizatorului):

intrarea de meniu „${LONGNAME} (pe ${DEVICE})” – utilizatori superutilizator {

 
Salvați modificările și rulați:

sudo update-grub

Am deschis fișierul /boot/grub/grub.cfg:

sudo nano /boot/grub/grub.cfg

Și unde este intrarea Windows (ceva de genul acesta):

intrarea de meniu „Windows XP Professional” {

schimbați-l în acesta (user2 fiind numele utilizatorului care are privilegii de acces):

intrarea de meniu „Windows XP Professional” – utilizatori utilizator2 {

Reporniți și atât. Acum, când încerci să intri în Windows, îți va cere parola. Dacă apăsați tasta „e”, vă va cere și parola.

Protejați Linux

Pentru a proteja intrările nucleului Linux, editați fișierul /etc/grub.d/10_linux și căutați linia care spune:

intrarea de meniu „$1” {

Dacă doriți doar ca superutilizatorul să-l poată accesa, ar trebui să arate astfel:

intrarea de meniu „$1” – utilizatori utilizator1 {

Dacă doriți ca un al doilea utilizator să poată accesa:

intrarea de meniu „$1” – utilizatori user2 {

De asemenea, puteți proteja intrarea de testarea memoriei prin editarea fișierului /etc/grub.d/20_memtest:

intrarea de meniu „Test de memorie (memtest86+)” – utilizatori superutilizator {

Protejați toate intrările

Pentru a proteja toate intrările, rulați:

sudo sed -i -e '/^menuentry /s/ {/ –users superuser {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os-prober /etc/ grub.d/40_custom

Pentru a anula acest pas, rulați:

sudo sed -i -e '/^menuentry /s/ –users superuser[/B] {/ {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os- prober /etc/grub.d/40_custom

GRUB

Să începem prin a deschide mediul GRUB. Am deschis un terminal și am tastat:

GRUB

Apoi, am introdus următoarea comandă:

md5crypt

Vă va cere parola pe care doriți să o utilizați. Scrie-l și apasă Enter. Veți primi o parolă criptată, pe care trebuie să o salvați cu mare atenție. Acum, cu permisiunile de administrator, deschideți fișierul /boot/grub/menu.lst cu editorul de text preferat:

sudo gedit /boot/grub/menu.lst

Pentru a seta parola pentru intrările din meniul GRUB pe care le preferați, trebuie să adăugați următoarele la fiecare dintre intrările pe care doriți să le protejați:

parola --md5 parola_mea

Unde my_password ar fi parola (criptată) returnată de md5crypt: Înainte:

titlu Ubuntu, kernel 2.6.8.1-2-386 (mod de recuperare)
rădăcină (hd1,2)
kernel /boot/vmlinuz-2.6.8.1-2-386 root=/dev/hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386

După:

titlu Ubuntu, kernel 2.6.8.1-2-386 (mod de recuperare)
rădăcină (hd1,2)
kernel /boot/vmlinuz-2.6.8.1-2-386 root=/dev/hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Salvați fișierul și reporniți. Asa de usor! Pentru a preveni nu numai ca cineva rău intenționat să modifice parametrii de configurare ai intrării protejate, dar și să nu poată porni sistemul respectiv, puteți adăuga o linie în intrarea „protejată”, după parametrul titlu. Urmând exemplul nostru, ar arăta cam așa:

titlu Ubuntu, kernel 2.6.8.1-2-386 (mod de recuperare)
bloca
rădăcină (hd1,2)
kernel /boot/vmlinuz-2.6.8.1-2-386 root=/dev/hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Data viitoare când cineva dorește să pornească acel sistem, va trebui să introducă parola.

Fuente: Delanover & MakeUseOf & Forumuri Ubuntu & Elavdezvoltator