Як захистити GRUB паролем (Linux)

Зазвичай ми витрачаємо значну частину свого часу на запобігати несанкціонованому доступу для наших команд: ми налаштовуємо брандмауери, дозволи користувачів, ACL, створюємо надійні паролі тощо; але ми рідко згадуємо захистити запуск нашого обладнання. Якщо людина має фізичний доступ до комп'ютера, вона може перезапустити його і змінити параметри GRUB отримати доступ адміністратора до комп’ютера. Просто додайте "1" або "s" в кінець рядка "ядра" GRUB, щоб отримати такий доступ.

Щоб уникнути цього, ви можете захистити GRUB, використовуючи пароль, так що якщо він не відомий, неможливо змінити його параметри.

Якщо у вас встановлений завантажувач GRUB (що є найпоширенішим, якщо ви використовуєте найпопулярніші дистрибутиви Linux), ви можете захистити кожен запис у меню GRUB паролем. Таким чином, кожного разу, коли ви вибираєте операційну систему для завантаження, вона запитує у вас пароль, який ви вказали для завантаження системи. І як бонус, якщо ваш комп’ютер викрадено, зловмисники не зможуть отримати доступ до ваших файлів. Звучить добре, так?

GRUB 2

Для кожного запису Grub користувач може встановити привілеї для модифікації параметрів записів, які GRUB з’являються при запуску системи, крім суперкористувача (той, хто має доступ для зміни Grub, натискаючи клавішу “e”). Ми зробимо це у файлі /etc/grub.d/00_header. Ми відкриваємо файл улюбленим редактором:

sudo nano /etc/grub.d/00_header

В кінці вставте наступне:

кіт < < EOF
встановити superusers=”user1″
пароль user1 пароль1
EOF

Де user1 є суперкористувачем, приклад:

кіт < < EOF
встановити superusers=”суперкористувач”
пароль суперкористувача 123456
EOF

Щоб створити більше користувачів, додайте їх нижче:

пароль суперкористувача 123456

Це буде виглядати більш-менш наступним чином:

кіт < < EOF
встановити superusers="суперкористувач"
пароль суперкористувача 123456
пароль користувача2 7890
EOF

Після встановлення бажаних користувачів ми зберігаємо зміни.

Захистіть Windows 

Для захисту Windows потрібно відредагувати файл /etc/grub.d/30_os-prober.

sudo nano /etc/grub.d/30_os-prober

Шукайте рядок коду, в якому написано:

меню "$ {LONGNAME} (на $ {DEVICE})" {

Це повинно виглядати так (суперкористувач - це ім'я суперкористувача):

меню "$ {LONGNAME} (на $ {DEVICE})" –користувачі суперкористувач {

 
Збережіть зміни та запустіть:

sudo update-grub

Я відкрив файл /boot/grub/grub.cfg:

sudo nano /boot/grub/grub.cfg

А де запис Windows (приблизно такий):

меню "Windows XP Professional" {

змініть його на це (user2 - це ім'я користувача з привілеями доступу):

меню "Windows XP Professional" - користувачі user2 {

Перезавантажтесь і йдіть. Тепер при спробі зайти в Windows він запитає вас пароль. Якщо натиснути клавішу "e", вона також запитає пароль.

Захистіть Linux

Щоб захистити записи ядра Linux, відредагуйте файл /etc/grub.d/10_linux і знайдіть рядок із написом:

меню "$ 1" {

Якщо ви хочете лише, щоб суперкористувач мав доступ до нього, він повинен виглядати так:

меню "$ 1" - користувачі user1 {

Якщо ви хочете, щоб другий користувач мав доступ:

меню "$ 1" - користувачі user2 {

Ви також можете захистити запис від перевірки пам’яті, відредагувавши файл /etc/grub.d/20_memtest:

меню "Тест пам'яті (memtest86 +)" –користувачі суперкористувач {

Захистіть усі записи

Щоб захистити всі записи, виконайте:

sudo sed -i -e '/ ^ menuentry / s / {/ –користувачі суперкористувач {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os-prober / etc / grub.d / 40_custom

Щоб скасувати цей крок, виконайте:

sudo sed -i -e '/ ^ menuentry / s / –користувачі суперкористувач [/ B] {/ {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os- prober /etc/grub.d/40_custom

GRUB

Почнемо з відкриття середовища GRUB. Я відкрив термінал і написав:

личинка

Потім я ввів таку команду:

md5crypt

Він запитає у вас пароль, який ви хочете використовувати. Введіть його та perison Enter. Ви отримаєте зашифрований пароль, який ви повинні зберігати дуже ретельно. Тепер, з дозволами адміністратора, я відкрив файл /boot/grub/menu.lst із вашим улюбленим текстовим редактором:

sudo gedit /boot/grub/menu.lst

Щоб додати пароль до записів меню GRUB, які ви віддаєте перевагу, до кожного запису, який ви хочете захистити, потрібно додати наступне:

пароль --md5 мій_пароль

Де my_password буде (зашифрованим) паролем, повернутим md5crypt: До:

заголовок Ubuntu, ядро ​​2.6.8.1-2-386 (режим відновлення)
корінь (hd1,2)
ядро /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro одиночний
initrd /boot/initrd.img-2.6.8.1-2-386

Після:

заголовок Ubuntu, ядро ​​2.6.8.1-2-386 (режим відновлення)
корінь (hd1,2)
ядро /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro одиночний
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Збережіть файл і перезавантажтесь. Це просто! Щоб уникнути не тільки того, що зловмисна особа може змінити параметри конфігурації захищеного запису, але й того, що вона навіть не може запустити цю систему, ви можете додати рядок у "захищений" запис після параметра заголовка. За нашим прикладом це виглядало б приблизно так:

заголовок Ubuntu, ядро ​​2.6.8.1-2-386 (режим відновлення)
замикати
корінь (hd1,2)
ядро /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro одиночний
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Наступного разу, коли хтось захоче запустити цю систему, йому доведеться ввести пароль.

Фуенте: Делановер & Використовувати & Ubuntu Forums & elavdeveloper