17Aug
Ubuntus Grub-Bootloader ermöglicht es jedem, Boot-Einträge zu bearbeiten oder standardmäßig seinen Befehlszeilenmodus zu verwenden. Secure Grub mit einem Passwort und niemand kann sie bearbeiten - Sie können sogar ein Passwort vor dem Booten von Betriebssystemen verlangen. Die Konfigurationsoptionen von
Grub 2 sind auf mehrere Dateien verteilt, anstatt auf die einzelne menu.lst-Datei Grub 1, die verwendet wird, ist das Einstellen eines Passworts komplizierter geworden. Diese Schritte gelten für Grub 1.99, das in Ubuntu 11.10 verwendet wird. Der Prozess kann in zukünftigen Versionen anders aussehen.
Erzeugen eines Passwort-Hash
Zuerst starten wir ein Terminal aus dem Ubuntu-Anwendungsmenü.
Jetzt erzeugen wir ein verschleiertes Passwort für Grubs Konfigurationsdateien. Geben Sie einfach grub-mkpasswd-pbkdf2 ein und drücken Sie die Eingabetaste. Sie werden nach einem Passwort gefragt und erhalten eine lange Zeichenfolge. Wählen Sie die Zeichenfolge mit der Maus aus, klicken Sie mit der rechten Maustaste darauf und wählen Sie Kopieren, um sie für später in Ihre Zwischenablage zu kopieren.
Dieser Schritt ist technisch optional - wir können unser Passwort im Klartext in Grubs Konfigurationsdateien eingeben, aber dieser Befehl verschleiert es und bietet zusätzliche Sicherheit.
Einstellen eines Passworts
Typ sudo nano /etc/grub.d/ 40_benutzerdefiniert zum Öffnen der Datei 40_custom im Nano-Texteditor. Hier sollten Sie Ihre eigenen Einstellungen vornehmen. Sie können von neueren Versionen von Grub überschrieben werden, wenn Sie sie an anderer Stelle hinzufügen.
Scrollen Sie bis zum Ende der Datei und fügen Sie einen Passworteintrag im folgenden Format hinzu:
set superusers = "name"
password_pbkdf2 name [lange Zeichenfolge von früher]
Hier haben wir einen Superuser namens "bob" mit unserem Passwort hinzugefügtvon früher. Wir haben auch einen Benutzer namens jim mit einem unsicheren Passwort im Klartext hinzugefügt.
Beachten Sie, dass Bob ein Superuser ist, während Jim nicht. Was ist der Unterschied? Superuser können Starteinträge bearbeiten und auf die Grub-Befehlszeile zugreifen, während dies für normale Benutzer nicht möglich ist. Sie können bestimmten Benutzern normale Starteinträge zuweisen, um ihnen Zugriff zu gewähren.
Speichern Sie die Datei, indem Sie Strg-O und Eingabe drücken, und drücken Sie dann Strg-X, um den Vorgang zu beenden. Ihre Änderungen werden erst wirksam, wenn Sie den Befehl sudo update-grub ausführen. Weitere Informationen finden Sie im Abschnitt Aktivieren Ihrer Änderungen.
Password Protecting Boot Entries
Das Erstellen eines Superusers bringt uns den größten Teil des Weges. Wenn ein Superuser konfiguriert ist, verhindert Grub automatisch, dass Benutzer Boot-Einträge bearbeiten oder auf die Grub-Befehlszeile ohne Passwort zugreifen können.
Möchten Sie einen bestimmten Boot-Eintrag mit einem Passwort schützen, so dass niemand ohne Angabe eines Passworts booten kann? Das können wir auch, obwohl es momentan etwas komplizierter ist.
Zuerst müssen wir die Datei ermitteln, die den Boot-Eintrag enthält, den Sie ändern möchten. Geben Sie sudo nano /etc/grub.d/ ein und drücken Sie die Tabulatortaste, um eine Liste der verfügbaren Dateien anzuzeigen.
Nehmen wir an, wir möchten unsere Linux-Systeme mit einem Passwort schützen. Linux-Boot-Einträge werden von der 10_linux-Datei generiert. Daher verwenden wir den Befehl sudo nano /etc/grub.d/ 10_linux , um ihn zu öffnen. Seien Sie vorsichtig beim Bearbeiten dieser Datei! Wenn Sie Ihr Passwort vergessen oder ein falsches eingeben, können Sie nicht in Linux booten, es sei denn, Sie booten von einer Live-CD und ändern Ihre Grub-Einstellungen zuerst.
Dies ist eine lange Datei mit vielen Dingen, also werden wir Strg-W drücken, um nach der gewünschten Zeile zu suchen. Geben Sie menuentry an der Sucheingabe ein und drücken Sie die Eingabetaste. Sie sehen eine Zeile, die mit printf beginnt.
Ändern Sie einfach den
printf "Menüeintrag" ${ title} '
Bit am Anfang der Zeile zu:
printf "menuentry -username' ${ title}"
Hier haben wir Jim Zugriff auf unsere Linux-Boot-Einträge gegeben. Bob hat auch Zugriff, da er ein Super User ist. Wenn wir "bob" statt "jim" angeben würden, hätte Jim überhaupt keinen Zugang.
Drücken Sie Strg-O und Enter, dann Strg-X, um die Datei zu speichern und zu schließen, nachdem Sie sie geändert haben.
Dies sollte mit der Zeit einfacher werden, da Grubs Entwickler dem Befehl grub-mkconfig weitere Optionen hinzufügen.
Aktivieren der Änderungen
Ihre Änderungen werden erst wirksam, wenn Sie den Befehl sudo update-grub ausführen. Dieser Befehl generiert eine neue Grub-Konfigurationsdatei.
Wenn Sie den Standardstarteintrag mit einem Kennwort geschützt haben, wird beim Starten des Computers eine Anmeldeaufforderung angezeigt.
Wenn Grub so eingestellt ist, dass ein Boot-Menü angezeigt wird, können Sie keinen Boot-Eintrag bearbeiten oder den Befehlszeilenmodus verwenden, ohne ein Superuser-Passwort einzugeben.