Jak chronić hasłem Boot Loader
Ubuntu's Grub boot loader pozwala każdemu edytować wpisy startowe lub domyślnie używać trybu wiersza poleceń. Bezpieczne Grub z hasłem i nikt nie może ich edytować - możesz nawet wymagać hasła przed uruchomieniem systemów operacyjnych.
Opcje konfiguracyjne Gruba 2 są podzielone na wiele plików zamiast pojedynczego pliku menu.lst Grub 1, więc ustawienie hasła stało się bardziej skomplikowane. Te kroki dotyczą Grub 1.99, używanego w Ubuntu 11.10. Proces może się różnić w przyszłych wersjach.
Generowanie hasła Hash
Najpierw uruchomimy terminal z menu aplikacji Ubuntu.
Teraz utworzymy zaciemnione hasło dla plików konfiguracyjnych Gruba. Po prostu wpisz grub-mkpasswd-pbkdf2 i naciśnij Enter. To poprosi cię o hasło i da ci długi ciąg. Wybierz ciąg za pomocą myszy, kliknij go prawym przyciskiem myszy i wybierz opcję Kopiuj, aby skopiować go do schowka na później.
Ten krok jest technicznie opcjonalny - możemy wprowadzić hasło w postaci zwykłego tekstu w plikach konfiguracyjnych Gruba, ale to polecenie zaciemni je i zapewni dodatkowe zabezpieczenia.
Ustawianie hasła
Rodzaj sudo nano /etc/grub.d/40_custom aby otworzyć plik 40_custom w edytorze tekstów Nano. Jest to miejsce, w którym należy wprowadzić własne ustawienia niestandardowe. Mogą być nadpisane nowszymi wersjami Gruba, jeśli dodasz je gdzie indziej.
Przewiń w dół do dołu pliku i dodaj hasło w następującym formacie:
set superusers = "name"
nazwa_hasła_pbkdf2 [długi ciąg z wcześniejszego]
Tutaj dodaliśmy superużytkownika o nazwie "bob" z naszym hasłem z wcześniejszych wersji. Dodaliśmy też użytkownika o nazwie jim z niezabezpieczonym hasłem w postaci zwykłego tekstu.
Zwróć uwagę, że Bob jest superużytkownikiem, a Jim nie. Co za różnica? Superusers może edytować wpisy startowe i uzyskać dostęp do wiersza poleceń Grub, podczas gdy zwykli użytkownicy nie. Możesz przypisać określone wpisy rozruchowe zwykłym użytkownikom, aby dać im dostęp.
Zapisz plik, naciskając Ctrl-O i Enter, a następnie naciśnij Ctrl-X, aby wyjść. Twoje zmiany zaczną obowiązywać dopiero po uruchomieniu sudo update-grub dowództwo; zobacz sekcję Aktywacja zmian, aby uzyskać więcej informacji.
Ochrona hasłem wpisów rozruchowych
Stworzenie superużytownika daje nam najwięcej możliwości. Po skonfigurowaniu superużytkownika Grub automatycznie uniemożliwia ludziom edytowanie wpisów rozruchowych lub uzyskiwanie dostępu do wiersza poleceń programu Grub bez hasła.
Chcesz zabezpieczyć hasłem określoną pozycję rozruchową, aby nikt nie mógł go uruchomić bez podania hasła? Możemy to również zrobić, choć w tej chwili jest to trochę bardziej skomplikowane.
Najpierw musimy określić plik, który zawiera pozycję rozruchową, którą chcesz zmodyfikować. Rodzaj sudo nano /etc/grub.d/ i naciśnij Tab, aby wyświetlić listę dostępnych plików.
Powiedzmy, że chcemy zabezpieczyć hasłem nasze systemy Linux. Wpisy systemu Linux są generowane przez plik 10_linux, więc użyjemy sudo nano /etc/grub.d/10_linux polecenie, aby je otworzyć. Zachowaj ostrożność podczas edycji tego pliku! Jeśli zapomnisz hasła lub wprowadzisz niepoprawne hasło, nie będziesz mógł uruchomić systemu Linux, chyba że uruchomisz system z Live CD i najpierw zmienisz konfigurację Gruba.
Jest to długotrwały plik z dużą ilością rzeczy, więc klikniemy Ctrl-W, aby wyszukać żądaną linię. Rodzaj menuentry w wierszu wyszukiwania i naciśnij Enter. Zobaczysz linię zaczynającą się od printf.
Po prostu zmień
printf "menuentry" $ title '
bit na początku linii do:
printf "menuentry -users name" $ title "
Tutaj daliśmy Jimowi dostęp do naszych wpisów rozruchowych Linux. Bob ma również dostęp, ponieważ jest superużytkownikiem. Jeśli określimy "bob" zamiast "jim", Jim nie będzie miał żadnego dostępu.
Naciśnij Ctrl-O i Enter, a następnie Ctrl-X, aby zapisać i zamknąć plik po jego modyfikacji.
Powinno to z czasem stać się łatwiejsze, ponieważ programiści Gruba dodają więcej opcji do komendy grub-mkconfig.
Aktywacja zmian
Twoje zmiany zaczną obowiązywać dopiero po uruchomieniu sudo update-grub dowództwo. To polecenie generuje nowy plik konfiguracyjny Gruba.
Jeśli hasło chroni domyślny wpis rozruchowy, po uruchomieniu komputera pojawi się monit logowania.
Jeśli Grub jest ustawiony, aby wyświetlić menu rozruchu, nie będzie można edytować wpisu rozruchowego ani trybu wiersza poleceń bez podawania hasła administratora.