Cum de a proteja cu parolă Ubuntu Loader Boot
Încărcătorul de încărcare Grub de la Ubuntu permite oricui să editeze intrări de boot sau să utilizeze modul de linie de comandă în mod implicit. Secure Grub cu o parolă și nimeni nu le poate edita - puteți chiar să solicitați o parolă înainte de a porni sistemele de operare.
Opțiunile de configurare ale lui Grub 2 sunt împărțite între mai multe fișiere în loc de fișierul single.lst Grub 1 folosit, astfel că stabilirea unei parole a devenit mai complicată. Acești pași se aplică la Grub 1.99, utilizat în Ubuntu 11.10. Procesul poate fi diferit în versiunile viitoare.
Generarea unei fraze de parola
În primul rând, vom declanșa un terminal din meniul de aplicații al Ubuntu.
Acum vom genera o parolă obfuscată pentru fișierele de configurare ale lui Grub. Doar tastați grub-mkpasswd-pbkdf2 și apăsați Enter. Acesta vă va solicita o parolă și vă va da un șir lung. Selectați șirul cu mouse-ul, faceți clic dreapta pe el și selectați Copiere pentru a-l copia în clipboard pentru mai târziu.
Acest pas este opțional din punct de vedere tehnic - putem introduce parola noastră în text simplu în fișierele de configurare ale lui Grub, dar această comandă o obfuscates și oferă securitate suplimentară.
Setarea unei parole
Tip sudo nano /etc/grub.d/40_custom pentru a deschide fișierul 40_custom din editorul de text Nano. Acesta este locul în care trebuie să introduceți propriile setări personalizate. Ele pot fi suprascrise de versiuni mai noi ale lui Grub dacă le adăugați în altă parte.
Derulați în jos în partea de jos a fișierului și adăugați o intrare de parolă în următorul format:
set superusers = "nume"
password_pbkdf2 nume [șir lung din mai devreme]
Aici am adăugat un superuser numit "bob" cu parola noastră de la mai devreme. De asemenea, am adăugat un utilizator numit jim cu o parolă nesigur în text simplu.
Rețineți că Bob este un superuser în timp ce Jim nu este. Care este diferența? Superuserii pot edita intrările de boot și pot accesa linia de comandă Grub, în timp ce utilizatorii normali nu pot. Puteți atribui intrări de boot specifice utilizatorilor obișnuiți pentru a le oferi acces.
Salvați fișierul apăsând Ctrl-O și Enter, apoi apăsați Ctrl-X pentru a ieși. Modificările dvs. nu vor avea efect până când nu executați sudo update-grub comanda; consultați secțiunea Activarea modificărilor pentru mai multe detalii.
Protejarea parolelor pentru intrările de boot
Crearea unui superuser ne ajută foarte mult. Cu ajutorul unui superuser configurat, Grub împiedică automat modificarea intrărilor de boot sau accesarea liniei de comandă Grub fără o parolă.
Doriți să protejați cu parolă o intrare specifică de boot, astfel încât nimeni să nu o poată încărca fără să furnizeze o parolă? Putem face și asta, deși este puțin mai complicat în acest moment.
Mai întâi, va trebui să determinăm fișierul care conține intrarea de boot pe care doriți să o modificați. Tip sudo nano /etc/grub.d/ și apăsați Tab pentru a vizualiza o listă a fișierelor disponibile.
Să presupunem că vrem să protejăm cu parolă sistemele noastre Linux. Intrările de boot Linux sunt generate de fișierul 10_linux, așa că vom folosi sudo nano /etc/grub.d/10_linux comanda pentru ao deschide. Aveți grijă atunci când editați acest fișier! Dacă ați uitat parola sau ați introdus o parolă incorectă, nu veți putea să încărcați Linux decât dacă porniți de pe un CD live și modificați mai întâi configurarea Grub.
Acesta este un fișier lung cu multe lucruri în desfășurare, așa că vom lovi Ctrl-W pentru a căuta linia pe care o dorim. Tip menuentry la promptul de căutare și apăsați Enter. Veți vedea o linie începând cu printf.
Doar schimbați
printf "meniu" $ title '
bit la începutul liniei:
printf "meniu-numele utilizatorului" $ title "
Aici i-am dat lui Jim accesul la intrările de boot Linux. Bob are și el acces, deoarece este un utilizator super. Dacă am specificat "bob" în loc de "Jim", Jim nu ar avea deloc acces.
Apăsați Ctrl-O și Enter, apoi Ctrl-X pentru a salva și a închide fișierul după modificarea acestuia.
Acest lucru ar trebui să devină mai ușor în timp, deoarece dezvoltatorii Grub adaugă mai multe opțiuni la comanda grub-mkconfig.
Activarea modificărilor
Modificările dvs. nu vor avea efect până când nu executați sudo update-grub comanda. Această comandă generează un nou fișier de configurare Grub.
Dacă ați protejat cu parolă intrarea implicită de încărcare, veți vedea o solicitare de conectare când porniți computerul.
Dacă Grub este setat să afișeze un meniu de boot, nu veți putea edita o intrare de boot sau nu utilizați modul de linie de comandă fără a introduce parola superuserului.