17Aug
Le chargeur de démarrage Grub d'Ubuntu permet à n'importe qui d'éditer des entrées de démarrage ou d'utiliser son mode ligne de commande par défaut. Secure Grub avec un mot de passe et personne ne peut les modifier - vous pouvez même avoir besoin d'un mot de passe avant de démarrer les systèmes d'exploitation.
Les options de configuration de Grub 2 sont réparties sur plusieurs fichiers au lieu du seul fichier menu.lst Grub 1 utilisé, donc la définition d'un mot de passe est devenue plus compliquée. Ces étapes s'appliquent à Grub 1.99, utilisé dans Ubuntu 11.10.Le processus peut être différent dans les versions futures.
Générer un hachage de mot de passe
Tout d'abord, nous allons lancer un terminal à partir du menu des applications d'Ubuntu.
Nous allons maintenant générer un mot de passe obfusqué pour les fichiers de configuration de Grub. Tapez simplement grub-mkpasswd-pbkdf2 et appuyez sur Entrée. Il vous demandera un mot de passe et vous donnera une longue chaîne. Sélectionnez la chaîne avec votre souris, faites un clic droit dessus et sélectionnez Copier pour la copier dans votre presse-papiers pour plus tard.
Cette étape est techniquement optionnelle - nous pouvons entrer notre mot de passe en texte clair dans les fichiers de configuration de Grub, mais cette commande l'obscurcit et fournit une sécurité supplémentaire.
Définition d'un mot de passe
Type sudo nano /etc/grub.d/ 40_custom pour ouvrir le fichier 40_custom dans l'éditeur de texte Nano. C'est l'endroit où vous devriez mettre vos propres paramètres personnalisés. Ils peuvent être remplacés par des versions plus récentes de Grub si vous les ajoutez ailleurs.
Faites défiler vers le bas du fichier et ajoutez une entrée de mot de passe au format suivant:
set superusers = "nom"
password_pbkdf2 nom [chaîne longue plus tôt]
Ici, nous avons ajouté un super-utilisateur nommé "bob" avec notre mot de passeà partir de plus tôt. Nous avons également ajouté un utilisateur nommé jim avec un mot de passe non sécurisé en texte brut.
Notez que Bob est un super-utilisateur alors que Jim ne l'est pas. Quelle est la différence? Les superutilisateurs peuvent modifier les entrées de démarrage et accéder à la ligne de commande Grub, contrairement aux utilisateurs normaux. Vous pouvez attribuer des entrées de démarrage spécifiques à des utilisateurs normaux pour leur donner accès.
Enregistrez le fichier en appuyant sur Ctrl-O et Entrée, puis appuyez sur Ctrl-X pour quitter. Vos modifications ne prendront effet qu'après l'exécution de la commande sudo update-grub ;consultez la section Activation de vos modifications pour plus de détails.
Mot de passe protégeant les entrées de démarrage
La création d'un super-utilisateur nous permet d'obtenir la plupart du temps. Avec un superutilisateur configuré, Grub empêche automatiquement les utilisateurs d'éditer les entrées de démarrage ou d'accéder à la ligne de commande Grub sans mot de passe.
Voulez-vous protéger par mot de passe une entrée de démarrage spécifique afin que personne ne puisse l'amorcer sans fournir un mot de passe? Nous pouvons le faire aussi, même si c'est un peu plus compliqué en ce moment.
Nous allons d'abord déterminer le fichier contenant l'entrée de démarrage que vous voulez modifier. Tapez sudo nano /etc/grub.d/ et appuyez sur Tab pour afficher la liste des fichiers disponibles.
Disons que nous voulons protéger par mot de passe nos systèmes Linux. Les entrées de démarrage Linux sont générées par le fichier 10_linux, nous allons donc utiliser la commande sudo nano /etc/grub.d/ 10_linux pour l'ouvrir. Soyez prudent lors de l'édition de ce fichier! Si vous oubliez votre mot de passe ou en entrez un incorrect, vous ne pourrez pas démarrer sous Linux à moins de démarrer à partir d'un CD en direct et de modifier d'abord votre configuration Grub.
Ceci est un fichier long avec beaucoup de choses en cours, donc nous allons appuyer sur Ctrl-W pour rechercher la ligne que nous voulons. Tapez menuentry à l'invite de recherche et appuyez sur Entrée. Vous verrez une ligne commençant par printf.
Changez
printf "menuentry '${ title}' Bit
au début de la ligne à:
printf" menuentry -users name '${ title} "
Ici, nous avons donné à Jim l'accès à nos entrées de démarrage Linux. Bob a également accès, puisqu'il est un super utilisateur. Si nous spécifions "bob" au lieu de "jim", Jim n'aurait aucun accès.
Appuyez sur Ctrl-O et Entrée, puis Ctrl-X pour enregistrer et fermer le fichier après l'avoir modifié.
Cela devrait devenir plus facile avec le temps car les développeurs de Grub ajoutent plus d'options à la commande grub-mkconfig.
Activation de vos modifications
Vos modifications ne prendront effet qu'après l'exécution de la commande sudo update-grub .Cette commande génère un nouveau fichier de configuration Grub.
Si vous avez protégé par mot de passe l'entrée de démarrage par défaut, une invite de connexion s'affiche lorsque vous démarrez votre ordinateur.
Si Grub est configuré pour afficher un menu de démarrage, vous ne pourrez pas modifier une entrée de démarrage ou utiliser le mode de ligne de commande sans entrer le mot de passe d'un superutilisateur.