Ako chrániť GRUB heslom (Linux)

Za normálnych okolností trávime značnú časť času zabrániť neoprávnenému prístupu našim tímom: konfigurujeme brány firewall, používateľské oprávnenia, zoznamy prístupových práv, vytvárame silné heslá atď .; ale málokedy si spomenieme chrániť uvedenie nášho zariadenia do prevádzky. Ak má osoba fyzický prístup k počítaču, môže ho reštartovať a zmeniť parametre GRUBu na získanie prístupu správcu k počítaču. Jednoduchým pridaním „1“ alebo „s“ na koniec riadku GRUB „kernel“ získate tento druh prístupu.

Aby sa tomu zabránilo, môže byť GRUB chránený pomocou hesla, takže ak nie je známe, nie je možné upraviť jeho parametre.

Ak máte nainštalovaný zavádzač GRUB (čo je najbežnejšie, ak používate najobľúbenejšie distribúcie Linuxu), môžete každú položku v ponuke GRUB chrániť heslom. Týmto spôsobom vás pri každom výbere operačného systému, ktorý sa má zaviesť, požiada o heslo, ktoré ste zadali, aby bolo možné zaviesť systém. A ako bonus, ak vám dôjde k krádeži počítača, útočníci nebudú mať prístup k vašim súborom. Znie to dobre, však?

GRUB 2

Pre každú položku Grub môžete vytvoriť používateľa s oprávneniami na úpravu parametrov položiek, ktoré sa zobrazia v GRUBe pri štarte systému, okrem superužívateľa (ten, ktorý má prístup k úprave Grub stlačením klávesu „e“). Urobíme to v súbore /etc/grub.d/00_header. Súbor otvárame obľúbeným editorom:

sudo nano /etc/grub.d/00_header

Na koniec prilepte nasledovné:

mačka < < EOF
set superusers=”user1″
heslo užívateľ1 heslo1
EOF

Ak je používateľ1 superužívateľom, príklad:

mačka < < EOF
set superusers=”superuser”
heslo superužívateľa 123456
EOF

Ak chcete vytvoriť viac používateľov, pridajte ich nižšie:

heslo superužívateľa 123456

Vyzeralo by to viac-menej takto:

mačka < < EOF
set superusers="superuser"
heslo superužívateľa 123456
heslo user2 7890
EOF

Keď sme vytvorili požadovaných používateľov, zmeny sa uložia.

Chráňte Windows 

Z dôvodu ochrany systému Windows upravte súbor /etc/grub.d/30_os-prober.

sudo nano /etc/grub.d/30_os-prober

Vyhľadajte riadok kódu, ktorý hovorí:

menuentry "$ {LONGNAME} (na $ {DEVICE})" {

Malo by to vyzerať takto (superužívateľ je meno superužívateľa):

menuentry "$ {LONGNAME} (na $ {DEVICE})" - superužívateľ používateľov {

 
Uložte zmeny a spustite:

sudo update-grub

Otvoril som súbor /boot/grub/grub.cfg:

sudo nano /boot/grub/grub.cfg

A kde je položka systému Windows (niečo také):

menuentry "Windows XP Professional" {

zmeňte to na toto (user2 je meno používateľa, ktorý má prístupové oprávnenia):

menuentry „Windows XP Professional“ - používatelia user2 {

Reštartujte počítač a choďte. Teraz, keď sa pokúsite vstúpiť do systému Windows, zobrazí sa výzva na zadanie hesla. Ak stlačíte kláves „e“, vyžiada si tiež heslo.

Chráňte Linux

Ak chcete chrániť položky jadra systému Linux, upravte súbor /etc/grub.d/10_linux a vyhľadajte riadok, ktorý hovorí:

menuentry "$ 1" {

Ak chcete, aby k nej mal prístup iba používateľ superuser, mal by vyzerať takto:

menuentry "$ 1" - používatelia user1 {

Ak chcete, aby mal druhý používateľ prístup:

menuentry "$ 1" –users user2 {

Môžete tiež chrániť záznam pred kontrolou pamäte úpravou súboru /etc/grub.d/20_memtest:

menuentry "Test pamäte (memtest86 +)" - superužívateľ používateľov {

Chráňte všetky záznamy

Ak chcete chrániť všetky spustené záznamy:

sudo sed -i -e '/ ^ menuentry / s / {/ –usus superuser {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os-prober / etc / grub.d / 40_custom

Tento krok môžete vrátiť spustením:

sudo sed -i -e '/ ^ menuentry / s / –users superuser [/ B] {/ {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os- prober /etc/grub.d/40_custom

GRUB

Začnime otvorením prostredia GRUB. Otvoril som terminál a napísal:

bašta

Potom som zadal nasledujúci príkaz:

md5crypt

Požiada vás o heslo, ktoré chcete použiť. Zadajte to a zadajte Enter. Dostanete šifrované heslo, ktoré si musíte veľmi opatrne strážiť. Teraz som s oprávneniami správcu otvoril súbor /boot/grub/menu.lst vo vašom obľúbenom textovom editore:

sudo gedit /boot/grub/menu.lst

Ak chcete vložiť heslo k položkám ponuky GRUB, ktoré uprednostňujete, musíte ku každej položke, ktorú chcete chrániť, pridať nasledujúce:

heslo --md5 moje_heslo

Kde by moje_heslo bolo (šifrované) heslo vrátené programom md5crypt: Pred:

názov Ubuntu, jadro 2.6.8.1-2-386 (režim obnovenia)
root (hd1,2)
jadro /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386

potom:

názov Ubuntu, jadro 2.6.8.1-2-386 (režim obnovenia)
root (hd1,2)
jadro /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Uložte súbor a reštartujte počítač. To ľahké! Ak sa chcete vyhnúť nielen tomu, že zlomyseľná osoba môže zmeniť konfiguračné parametre chráneného záznamu, ale tiež tomu, že nemôže tento systém ani spustiť, môžete do riadku „chránený“ záznam pridať riadok za parameter title. Podľa nášho príkladu by to vyzeralo asi takto:

názov Ubuntu, jadro 2.6.8.1-2-386 (režim obnovenia)
zamknúť
root (hd1,2)
jadro /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro single
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Keď chce niekto nabudúce spustiť tento systém, bude musieť zadať heslo.

Fuente: delanover & Použiť & Ubuntu fóra & elavdeveloper