În mod normal, ne petrecem o bună parte din timp preveni accesul neautorizat către echipele noastre: configurăm firewall-uri, permisiuni de utilizator, ACL-uri, creăm parole puternice etc.; dar rar ne amintim protejați pornirea echipamentului nostru.
Dacă cineva are acces fizic la computer, îl poate reporni și modificați parametrii GRUB pentru a obține acces de administrator la computer. Pur și simplu adăugați un „1” sau un „s” la sfârșitul liniei „kernel” GRUB pentru a obține acest tip de acces. |
Pentru a evita acest lucru, GRUB poate fi protejat prin folosirea unei parole, astfel încât dacă nu este cunoscută, nu se va putea modifica parametrii acestuia.
Dacă aveți instalat bootloader-ul GRUB (ceea ce este cel mai comun dacă utilizați cele mai populare distribuții Linux), puteți proteja fiecare intrare din meniul GRUB cu o parolă. Astfel, de fiecare dată când alegeți un sistem de operare pentru pornire, acesta vă va cere parola pe care ați specificat-o pentru a porni sistemul. Și ca un bonus suplimentar, dacă computerul este furat, intrușii nu vor putea să vă acceseze fișierele. Sună bine, nu?
GRUB2
Pentru fiecare intrare Grub se poate stabili un utilizator cu privilegii de modificare a parametrilor intrărilor GRUB care apar la pornirea sistemului, în afară de superutilizatorul (cel care are acces să modifice Grub apăsând tasta „e”). Vom face acest lucru în fișierul /etc/grub.d/00_header. Deschidem fișierul cu editorul nostru preferat:
sudo nano /etc/grub.d/00_header
La final lipiți următoarele:
pisica < < EOF
set superusers="user1"
parola utilizator1 parola1
EOF
Unde user1 este superutilizatorul, exemplu:
pisica < < EOF
set superusers=”superutilizator”
parola de superutilizator 123456
EOF
Pentru a crea mai mulți utilizatori, adăugați-i mai jos:
parola de superutilizator 123456
Ar arăta mai mult sau mai puțin așa:
pisica < < EOF
set superusers="superuser"
parola de superutilizator 123456
parola user2 7890
EOF
Odată ce am stabilit utilizatorii pe care îi dorim, salvăm modificările.
Protejați Windows
Pentru a proteja Windows, trebuie să editați fișierul /etc/grub.d/30_os-prober.
sudo nano /etc/grub.d/30_os-prober
Căutați o linie de cod care spune:
intrarea de meniu „${LONGNAME} (pe ${DEVICE})” {
Ar trebui să arate astfel (superutilizator fiind numele superutilizatorului):
intrarea de meniu „${LONGNAME} (pe ${DEVICE})” – utilizatori superutilizator {
Salvați modificările și rulați:
sudo update-grub
Am deschis fișierul /boot/grub/grub.cfg:
sudo nano /boot/grub/grub.cfg
Și unde este intrarea Windows (ceva de genul acesta):
intrarea de meniu „Windows XP Professional” {
schimbați-l în acesta (user2 fiind numele utilizatorului care are privilegii de acces):
intrarea de meniu „Windows XP Professional” – utilizatori utilizator2 {
Reporniți și atât. Acum, când încerci să intri în Windows, îți va cere parola. Dacă apăsați tasta „e”, vă va cere și parola.
Protejați Linux
Pentru a proteja intrările nucleului Linux, editați fișierul /etc/grub.d/10_linux și căutați linia care spune:
intrarea de meniu „$1” {
Dacă doriți doar ca superutilizatorul să-l poată accesa, ar trebui să arate astfel:
intrarea de meniu „$1” – utilizatori utilizator1 {
Dacă doriți ca un al doilea utilizator să poată accesa:
intrarea de meniu „$1” – utilizatori user2 {
De asemenea, puteți proteja intrarea de testarea memoriei prin editarea fișierului /etc/grub.d/20_memtest:
intrarea de meniu „Test de memorie (memtest86+)” – utilizatori superutilizator {
Protejați toate intrările
Pentru a proteja toate intrările, rulați:
sudo sed -i -e '/^menuentry /s/ {/ –users superuser {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os-prober /etc/ grub.d/40_custom
Pentru a anula acest pas, rulați:
sudo sed -i -e '/^menuentry /s/ –users superuser[/B] {/ {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os- prober /etc/grub.d/40_custom
GRUB
Să începem prin a deschide mediul GRUB. Am deschis un terminal și am tastat:
GRUB
Apoi, am introdus următoarea comandă:
md5crypt
Vă va cere parola pe care doriți să o utilizați. Scrie-l și apasă Enter. Veți primi o parolă criptată, pe care trebuie să o salvați cu mare atenție. Acum, cu permisiunile de administrator, deschideți fișierul /boot/grub/menu.lst cu editorul de text preferat:
sudo gedit /boot/grub/menu.lst
Pentru a seta parola pentru intrările din meniul GRUB pe care le preferați, trebuie să adăugați următoarele la fiecare dintre intrările pe care doriți să le protejați:
parola --md5 parola_mea
Unde my_password ar fi parola (criptată) returnată de md5crypt: Înainte:
titlu Ubuntu, kernel 2.6.8.1-2-386 (mod de recuperare)
rădăcină (hd1,2)
kernel /boot/vmlinuz-2.6.8.1-2-386 root=/dev/hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386
După:
titlu Ubuntu, kernel 2.6.8.1-2-386 (mod de recuperare)
rădăcină (hd1,2)
kernel /boot/vmlinuz-2.6.8.1-2-386 root=/dev/hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs
Salvați fișierul și reporniți. Asa de usor! Pentru a preveni nu numai ca cineva rău intenționat să modifice parametrii de configurare ai intrării protejate, dar și să nu poată porni sistemul respectiv, puteți adăuga o linie în intrarea „protejată”, după parametrul titlu. Urmând exemplul nostru, ar arăta cam așa:
titlu Ubuntu, kernel 2.6.8.1-2-386 (mod de recuperare)
bloca
rădăcină (hd1,2)
kernel /boot/vmlinuz-2.6.8.1-2-386 root=/dev/hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs
Data viitoare când cineva dorește să pornească acel sistem, va trebui să introducă parola.
Fuente: Delanover & MakeUseOf & Forumuri Ubuntu & Elavdezvoltator
Buna ziua, vreau ajutor, va rog, vreau sa protejez kernelul sistemului meu Android cu o parola pentru ca daca imi este furat dispozitivul schimba ROM-ul si nu l-as putea recupera niciodata!! Daca ma puteti ajuta... Am acces de superutilizator, dar vreau sa imi ceara permis atunci cand puneti dispozitivul in modul download. Mulţumesc anticipat.
Contribuție excelentă. Abonat