Обычно мы тратим значительную часть своего времени на предотвратить несанкционированный доступ нашим командам: мы настраиваем межсетевые экраны, права пользователей, ACL, создаем надежные пароли и т. д .; но мы редко вспоминаем защитить запуск нашего оборудования.
Если у человека есть физический доступ к компьютеру, он может перезагрузить его и изменить параметры GRUB чтобы получить доступ администратора к компьютеру. Просто добавьте «1» или «s» в конец строки «kernel» GRUB, чтобы получить такой доступ. |
Чтобы избежать этого, вы можете защитить GRUB с помощью пароля, чтобы, если он неизвестен, невозможно было изменить его параметры.
Если у вас установлен загрузчик GRUB (что наиболее часто встречается при использовании самых популярных дистрибутивов Linux), вы можете защитить каждую запись в меню GRUB паролем. Таким образом, каждый раз, когда вы выбираете операционную систему для загрузки, она будет запрашивать у вас пароль, который вы указали для загрузки системы. И в качестве бонуса, если ваш компьютер будет украден, злоумышленники не смогут получить доступ к вашим файлам. Звучит хорошо, правда?
GRUB 2
Для каждой записи Grub вы можете установить пользователя с привилегиями для изменения параметров записей, которые появляются в GRUB при запуске системы, кроме суперпользователя (того, кто имеет доступ к изменению Grub, нажав клавишу «e»). Сделаем это в файле /etc/grub.d/00_header. Открываем файл любимым редактором:
судо нано /etc/grub.d/00_header
В конце вставьте следующее:
кот < < EOF
установите суперпользователей = «пользователь1»
пароль user1 password1
EOF
Где user1 - суперпользователь, например:
кот < < EOF
установите superusers="суперпользователь"
пароль суперпользователя 123456
EOF
Чтобы создать больше пользователей, добавьте их ниже:
пароль суперпользователя 123456
Это выглядело бы примерно так:
кот < < EOF
установить суперпользователей = «суперпользователь»
пароль суперпользователя 123456
пароль user2 7890
EOF
После того, как мы установили нужных пользователей, мы сохраняем изменения.
Защитить Windows
Для защиты Windows необходимо отредактировать файл /etc/grub.d/30_os-prober.
судо нано /etc/grub.d/30_os-prober
Найдите строку кода, в которой говорится:
menuentry "$ {LONGNAME} (на $ {DEVICE})" {
Это должно выглядеть так (суперпользователь - это имя суперпользователя):
menuentry "$ {LONGNAME} (на $ {DEVICE})" –users superuser {
Сохраняем изменения и запускаем:
sudo update-grub
Я открыл файл /boot/grub/grub.cfg:
судо нано /boot/grub/grub.cfg
А где запись Windows (примерно так):
menuentry "Windows XP Professional" {
измените его на это (user2 - это имя пользователя, имеющего права доступа):
menuentry "Windows XP Professional" –users user2 {
Перезагрузитесь и вперед. Теперь, когда вы попытаетесь войти в Windows, он попросит вас ввести пароль. Если вы нажмете клавишу «e», он также запросит пароль.
Защитить Linux
Чтобы защитить записи ядра Linux, отредактируйте файл /etc/grub.d/10_linux и найдите строку, в которой говорится:
menuentry "$ 1" {
Если вы хотите, чтобы к нему имел доступ только суперпользователь, он должен выглядеть так:
menuentry "$ 1" –users user1 {
Если вы хотите, чтобы второй пользователь имел доступ:
menuentry "$ 1" –users user2 {
Вы также можете защитить запись от проверки памяти, отредактировав файл /etc/grub.d/20_memtest:
menuentry "Проверка памяти (memtest86 +)" –users superuser {
Защитить все записи
Чтобы защитить все записи, запустите:
sudo sed -i -e '/ ^ menuentry / s / {/ –users superuser {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os-prober / etc / grub.d / 40_custom
Чтобы отменить этот шаг, запустите:
sudo sed -i -e '/ ^ menuentry / s / –users superuser [/ B] {/ {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os- пробер /etc/grub.d/40_custom
GRUB
Начнем с открытия среды GRUB. Я открыл терминал и написал:
личинка
Затем я ввел следующую команду:
md5crypt
Вам будет предложено ввести пароль, который вы хотите использовать. Введите его и перисон Enter. Вы получите зашифрованный пароль, который нужно бережно хранить. Теперь, имея права администратора, я открыл файл /boot/grub/menu.lst в вашем любимом текстовом редакторе:
sudo gedit /boot/grub/menu.lst
Чтобы ввести пароль в записи меню GRUB, которые вы предпочитаете, вы должны добавить следующее к каждой записи, которую вы хотите защитить:
пароль --md5 my_password
Где my_password будет (зашифрованным) паролем, возвращаемым md5crypt: До:
название Ubuntu, ядро 2.6.8.1-2-386 (режим восстановления)
root (hd1,2)
ядро /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro одиночный
initrd /boot/initrd.img-2.6.8.1-2-386
то:
название Ubuntu, ядро 2.6.8.1-2-386 (режим восстановления)
root (hd1,2)
ядро /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro одиночный
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs
Сохраните файл и перезагрузитесь. Это просто! Чтобы избежать не только того, что злоумышленник может изменить параметры конфигурации защищенной записи, но и того, что они не смогут даже запустить эту систему, вы можете добавить строку в «защищенную» запись после параметра заголовка. Следуя нашему примеру, это будет выглядеть примерно так:
название Ubuntu, ядро 2.6.8.1-2-386 (режим восстановления)
Блокировка
root (hd1,2)
ядро /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro одиночный
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs
В следующий раз, когда кто-то захочет запустить эту систему, ему придется ввести пароль.
источник: Делановер & Используйте & Ubuntu Форумы & Элавдевелопер
Здравствуйте, мне нужна помощь, пожалуйста, я хочу защитить ядро моей системы Android паролем, потому что, если устройство украдено, они меняют ПЗУ, и я никогда не смогу его восстановить! Если вы можете мне помочь ... У меня есть доступ суперпользователя, но я хочу, чтобы он запрашивал у меня пропуск, когда вы переводите устройство в режим загрузки. Заранее спасибо.
Отличный вклад. Подписан