Как защитить GRUB паролем (Linux)

Обычно мы тратим значительную часть своего времени на предотвратить несанкционированный доступ нашим командам: мы настраиваем межсетевые экраны, права пользователей, ACL, создаем надежные пароли и т. д .; но мы редко вспоминаем защитить запуск нашего оборудования. Если у человека есть физический доступ к компьютеру, он может перезагрузить его и изменить параметры GRUB чтобы получить доступ администратора к компьютеру. Просто добавьте «1» или «s» в конец строки «kernel» GRUB, чтобы получить такой доступ.

Чтобы избежать этого, вы можете защитить GRUB с помощью пароля, чтобы, если он неизвестен, невозможно было изменить его параметры.

Если у вас установлен загрузчик GRUB (что наиболее часто встречается при использовании самых популярных дистрибутивов Linux), вы можете защитить каждую запись в меню GRUB паролем. Таким образом, каждый раз, когда вы выбираете операционную систему для загрузки, она будет запрашивать у вас пароль, который вы указали для загрузки системы. И в качестве бонуса, если ваш компьютер будет украден, злоумышленники не смогут получить доступ к вашим файлам. Звучит хорошо, правда?

GRUB 2

Для каждой записи Grub вы можете установить пользователя с привилегиями для изменения параметров записей, которые появляются в GRUB при запуске системы, кроме суперпользователя (того, кто имеет доступ к изменению Grub, нажав клавишу «e»). Сделаем это в файле /etc/grub.d/00_header. Открываем файл любимым редактором:

судо нано /etc/grub.d/00_header

В конце вставьте следующее:

кот < < EOF
установите суперпользователей = «пользователь1»
пароль user1 password1
EOF

Где user1 - суперпользователь, например:

кот < < EOF
установите superusers="суперпользователь"
пароль суперпользователя 123456
EOF

Чтобы создать больше пользователей, добавьте их ниже:

пароль суперпользователя 123456

Это выглядело бы примерно так:

кот < < EOF
установить суперпользователей = «суперпользователь»
пароль суперпользователя 123456
пароль user2 7890
EOF

После того, как мы установили нужных пользователей, мы сохраняем изменения.

Защитить Windows 

Для защиты Windows необходимо отредактировать файл /etc/grub.d/30_os-prober.

судо нано /etc/grub.d/30_os-prober

Найдите строку кода, в которой говорится:

menuentry "$ {LONGNAME} (на $ {DEVICE})" {

Это должно выглядеть так (суперпользователь - это имя суперпользователя):

menuentry "$ {LONGNAME} (на $ {DEVICE})" –users superuser {

 
Сохраняем изменения и запускаем:

sudo update-grub

Я открыл файл /boot/grub/grub.cfg:

судо нано /boot/grub/grub.cfg

А где запись Windows (примерно так):

menuentry "Windows XP Professional" {

измените его на это (user2 - это имя пользователя, имеющего права доступа):

menuentry "Windows XP Professional" –users user2 {

Перезагрузитесь и вперед. Теперь, когда вы попытаетесь войти в Windows, он попросит вас ввести пароль. Если вы нажмете клавишу «e», он также запросит пароль.

Защитить Linux

Чтобы защитить записи ядра Linux, отредактируйте файл /etc/grub.d/10_linux и найдите строку, в которой говорится:

menuentry "$ 1" {

Если вы хотите, чтобы к нему имел доступ только суперпользователь, он должен выглядеть так:

menuentry "$ 1" –users user1 {

Если вы хотите, чтобы второй пользователь имел доступ:

menuentry "$ 1" –users user2 {

Вы также можете защитить запись от проверки памяти, отредактировав файл /etc/grub.d/20_memtest:

menuentry "Проверка памяти (memtest86 +)" –users superuser {

Защитить все записи

Чтобы защитить все записи, запустите:

sudo sed -i -e '/ ^ menuentry / s / {/ –users superuser {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os-prober / etc / grub.d / 40_custom

Чтобы отменить этот шаг, запустите:

sudo sed -i -e '/ ^ menuentry / s / –users superuser [/ B] {/ {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os- пробер /etc/grub.d/40_custom

GRUB

Начнем с открытия среды GRUB. Я открыл терминал и написал:

личинка

Затем я ввел следующую команду:

md5crypt

Вам будет предложено ввести пароль, который вы хотите использовать. Введите его и перисон Enter. Вы получите зашифрованный пароль, который нужно бережно хранить. Теперь, имея права администратора, я открыл файл /boot/grub/menu.lst в вашем любимом текстовом редакторе:

sudo gedit /boot/grub/menu.lst

Чтобы ввести пароль в записи меню GRUB, которые вы предпочитаете, вы должны добавить следующее к каждой записи, которую вы хотите защитить:

пароль --md5 my_password

Где my_password будет (зашифрованным) паролем, возвращаемым md5crypt: До:

название Ubuntu, ядро ​​2.6.8.1-2-386 (режим восстановления)
root (hd1,2)
ядро /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro одиночный
initrd /boot/initrd.img-2.6.8.1-2-386

то:

название Ubuntu, ядро ​​2.6.8.1-2-386 (режим восстановления)
root (hd1,2)
ядро /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro одиночный
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Сохраните файл и перезагрузитесь. Это просто! Чтобы избежать не только того, что злоумышленник может изменить параметры конфигурации защищенной записи, но и того, что они не смогут даже запустить эту систему, вы можете добавить строку в «защищенную» запись после параметра заголовка. Следуя нашему примеру, это будет выглядеть примерно так:

название Ubuntu, ядро ​​2.6.8.1-2-386 (режим восстановления)
Блокировка
root (hd1,2)
ядро /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro одиночный
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

В следующий раз, когда кто-то захочет запустить эту систему, ему придется ввести пароль.

источник: Делановер & Используйте & Ubuntu Форумы & Элавдевелопер