17Aug
Spouštěcí zavaděč Grub Ubuntu umožňuje, aby někdo upravoval zaváděcí položky nebo ve výchozím nastavení použil režim příkazového řádku. Zabezpečte Grub s heslem a nikdo je nemůže upravovat - před zavedením operačních systémů můžete dokonce vyžadovat heslo. Volby konfigurace
Grub 2 jsou rozděleny do několika souborů namísto jediného souboru menu.lst Grub 1, takže nastavení hesla se stalo složitějším. Tyto kroky platí pro Grub 1.99, který se používá v Ubuntu 11.10.Proces může být v budoucích verzích odlišný.
Generování hesla Hash
Nejdříve spustíme terminál z nabídky aplikací Ubuntu.
Nyní vygenerujeme zmatené heslo pro konfigurační soubory Grub. Stačí zadat grub-mkpasswd-pbkdf2 a stiskněte klávesu Enter. Bude vás vyzvat k zadání hesla a poskytne vám dlouhý řetězec. Vyberte řetězec myší, klepněte pravým tlačítkem na něj a vyberte možnost Kopírovat a zkopírujte jej do schránky pro pozdější použití.
Tento krok je technicky nepovinný - můžeme zadat své heslo v běžném textu v konfiguračních souborech Grub, ale tento příkaz ho obohacuje a poskytuje další zabezpečení.
Nastavení hesla
Typ sudo nano /etc/grub.d/ 40_custom otevře soubor 40_custom v textovém editoru Nano. Toto je místo, kde byste měli nastavit vlastní nastavení.Mohou být přepsány novějšími verzemi Grub, pokud je přidáte jinde.
Přejděte dolů do dolní části souboru a přidejte položku hesla v následujícím formátu:
set superusers = "jméno"
heslo_pbkdf2 jméno [dlouhý řetězec od dřívější]
Zde jsme přidali superuživatele s názvem "bob"od dříve. Přidali jsme také uživatele s jménem jim s nezabezpečeným heslem v prostém textu.
Všimněte si, že Bob je superuser, zatímco Jim není.Jaký je v tom rozdíl? Superuživatelé mohou upravovat bootovací položky a přistupovat k příkazovému řádku Grub, zatímco běžní uživatelé nemohou. Můžete přiřadit specifickým spouštěcím položkám běžným uživatelům, abyste jim umožnili přístup.
Uložte soubor stisknutím klávesy Ctrl-O a Enter a poté stiskněte Ctrl-X pro ukončení.Změny se projeví až po spuštění příkazu sudo update-grub ;Další podrobnosti naleznete v části Aktivace změn.
Ochrana heslem chránící heslem
Vytvoření superužívače nám přináší většinu cesty. S nakonfigurovaným superuživatelem Grub automaticky zabrání lidem v úpravě zaváděcích položek nebo v přístupu k příkazovému řádku Grub bez hesla.
Chci chránit heslem určitou zaváděcí položku tak, aby ji nikdo nemohl zavést bez zadání hesla? Můžeme to udělat i my, i když je to v tuto chvíli trochu komplikovanější.
Nejprve musíme určit soubor, který obsahuje zaváděcí položku, kterou chcete upravit. Zadejte sudo nano /etc/grub.d/ a stisknutím klávesy Tab zobrazte seznam dostupných souborů.
Řekněme, že chceme systém Linux chránit heslem. Zaváděcí položky Linuxu jsou generovány souborem 10_linux, proto jej použijeme k otevření příkazu sudo nano /etc/grub.d/ 10_linux .Buďte opatrní při editaci tohoto souboru! Pokud heslo zapomenete nebo zadáte nesprávné heslo, nebudete moci zavést do systému Linux, dokud neinstalujete ze živého disku CD a nejprve upravíte nastavení Grub.
Jedná se o dlouhý soubor se spoustou věcí, takže stiskneme klávesu Ctrl-W pro hledání řádku, který chceme. Zadejte příkaz do vyhledávacího řádku a stiskněte klávesu Enter. Uvidíte čáru začínající na printf.
Stačí změnit
printf "menuentry" ${ title} '
bit na začátku řádku na:
printf "menuentry - uživatelské jméno' ${ title}"
Jim jsme dali přístup k našim zaváděcím položkám Linux. Bob má také přístup, protože je super uživatel. Pokud jsme zadali "bob" místo "jim", Jim by vůbec neměl přístup.
Stiskněte klávesy Ctrl-O a Enter a potom Ctrl-X pro uložení a zavření souboru po jeho úpravě.
Toto by mělo být časově snadnější, protože vývojáři Grubu přidávají do příkazu grub-mkconfig další možnosti.
Aktivace změn
Vaše změny se projeví až po spuštění příkazu sudo update-grub .Tento příkaz generuje nový konfigurační soubor Grub.
Pokud heslo chráněné výchozí zaváděcí položkou, při spuštění počítače se zobrazí výzva k přihlášení.
Pokud je Grub nastaven tak, aby zobrazoval nabídku zavádění, nebudete moci upravovat zaváděcí položku ani používat režim příkazového řádku, aniž byste zadali heslo pro superuser.