Kako zaščititi GRUB z geslom (Linux)

Običajno preživimo dobršen del svojega časa preprečite nepooblaščen dostop našim skupinam: konfiguriramo požarne zidove, uporabniška dovoljenja, ACL-je, ustvarjamo močna gesla itd .; a se le redko spomnimo zaščititi zagon naše opreme. Če ima oseba fizični dostop do računalnika, ga lahko znova zažene in spremenite parametre GRUB za skrbniški dostop do računalnika. Preprosto dodajte '1' ali 's' na konec vrstice GRUB 'jedro', da dobite takšen dostop.

Da bi se temu izognili, lahko GRUB zaščitite z geslom, tako da njegovih parametrov, če ni znano, ni mogoče spremeniti.

Če imate nameščen zagonski nalagalnik GRUB (kar je najpogosteje, če uporabljate najbolj priljubljene distribucije Linuxa), lahko vsak vnos v meniju GRUB zaščitite z geslom. Na ta način vas bo vsakič, ko izberete operacijski sistem za zagon, vprašal za geslo, ki ste ga določili za zagon sistema. In kot bonus, če vam ukradejo računalnik, vsiljivci ne bodo mogli dostopati do vaših datotek. Sliši se dobro, kajne?

GRUB 2

Za vsak vnos Grub lahko vzpostavite uporabnika s privilegiji za spreminjanje parametrov vnosov, ki se pojavijo v GRUB-u ob zagonu sistema, razen super uporabnika (tistega, ki ima dostop do spremembe Gruba s pritiskom na tipko "e"). To bomo storili v datoteki /etc/grub.d/00_header. Datoteko odpremo z našim najljubšim urejevalnikom:

sudo nano /etc/grub.d/00_header

Na koncu prilepite naslednje:

mačka < < EOF
nastavi superuporabnike=”uporabnik1″
geslo user1 geslo1
EOF

Kjer je uporabnik1 super uporabnik, primer:

mačka < < EOF
set superusers=”superuporabnik”
geslo super uporabnika 123456
EOF

Če želite ustvariti več uporabnikov, jih dodajte spodaj:

geslo super uporabnika 123456

Videti bi bilo bolj ali manj tako:

mačka < < EOF
set superusers="superuser"
geslo super uporabnika 123456
geslo uporabnik2 7890
EOF

Ko določimo uporabnike, ki jih želimo, spremembe shranimo.

Zaščitite Windows 

Za zaščito sistema Windows morate urediti datoteko /etc/grub.d/30_os-prober.

sudo nano /etc/grub.d/30_os-prober

Poiščite vrstico kode, ki pravi:

menuentry "$ {LONGNAME} (na $ {DEVICE})" {

Izgledati mora takole (super uporabnik je ime super uporabnika):

menuentry "$ {LONGNAME} (na $ {DEVICE})" - uporabniki superuser {

 
Shranite spremembe in zaženite:

sudo update-grub

Odprl sem datoteko /boot/grub/grub.cfg:

sudo nano /boot/grub/grub.cfg

In kje je vnos v sistemu Windows (nekaj takega):

menuentry "Windows XP Professional" {

spremenite na to (uporabnik2 je ime uporabnika, ki ima pravice dostopa):

menuentry "Windows XP Professional" - uporabniki user2 {

Znova zaženite in pojdite. Ko poskusite vstopiti v sistem Windows, vas bo vprašal za geslo. Če pritisnete tipko "e", vas bo tudi vprašala za geslo.

Zaščitite Linux

Če želite zaščititi vnose v jedro Linuxa, uredite datoteko /etc/grub.d/10_linux in poiščite vrstico, ki pravi:

menuentry "$ 1" {

Če želite, da ima super uporabnik le dostop do njega, mora biti videti tako:

menuentry "$ 1" - uporabniki user1 {

Če želite, da lahko drugi uporabnik dostopa:

menuentry "$ 1" - uporabniki user2 {

Vnos lahko zaščitite tudi pred preverjanjem pomnilnika z urejanjem datoteke /etc/grub.d/20_memtest:

menuentry "Test pomnilnika (memtest86 +)" - uporabniki super uporabnik {

Zaščitite vse vnose

Za zaščito vseh vnosov zaženite:

sudo sed -i -e '/ ^ menuentry / s / {/ –users superuser {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os-prober / etc / grub.d / 40_custom

Če želite razveljaviti ta korak, zaženite:

sudo sed -i -e '/ ^ menuentry / s / –users superuser [/ B] {/ {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os- prober /etc/grub.d/40_custom

GRUB

Začnimo z odprtjem okolja GRUB. Odprl sem terminal in napisal:

grub

Nato sem vnesel naslednji ukaz:

md5crypt

Vprašal vas bo za geslo, ki ga želite uporabiti. Vnesite in perison Enter. Dobili boste šifrirano geslo, ki ga morate zelo skrbno hraniti. Zdaj sem z skrbniškimi dovoljenji odprl datoteko /boot/grub/menu.lst z vašim najljubšim urejevalnikom besedil:

sudo gedit /boot/grub/menu.lst

Če želite geslo vnesti v želene vnose v meniju GRUB, morate vsakemu vnosu, ki ga želite zaščititi, dodati naslednje:

geslo - md5 my_password

Kjer bi bila my_password (šifrirano) geslo, ki ga vrne md5crypt: Pred:

naslov Ubuntu, jedro 2.6.8.1-2-386 (način obnovitve)
koren (hd1,2)
jedro /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro en
initrd /boot/initrd.img-2.6.8.1-2-386

Po:

naslov Ubuntu, jedro 2.6.8.1-2-386 (način obnovitve)
koren (hd1,2)
jedro /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro en
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Shranite datoteko in znova zaženite. Tako enostavno! Da bi se izognili ne samo temu, da lahko zlonamerna oseba spremeni konfiguracijske parametre zaščitenega vnosa, temveč tudi, da tega sistema niti ne more zagnati, lahko za naslovnim parametrom dodate vrstico v "zaščiten" vnos. Po našem primeru bi bilo videti nekako takole:

naslov Ubuntu, jedro 2.6.8.1-2-386 (način obnovitve)
zaklepanje
koren (hd1,2)
jedro /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro en
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Ko bo naslednjič kdo želel zagnati ta sistem, bo moral vnesti geslo.

vir: delanover & Izkoristijo & Ubuntu forumi & elavdeveloper