17Aug
Met de Grub-bootloader van Ubuntu kan iedereen bootitems bewerken of standaard de opdrachtregelmodus gebruiken. Secure Grub met een wachtwoord en niemand kan ze bewerken - je kunt zelfs een wachtwoord nodig hebben voordat je besturingssystemen opstart. De configuratie-opties van
Grub 2 zijn verdeeld over meerdere bestanden in plaats van het enkele gebruikte menu-item Grub 1, dus het instellen van een wachtwoord is ingewikkelder geworden. Deze stappen zijn van toepassing op Grub 1.99, gebruikt in Ubuntu 11.10.Het proces kan in toekomstige versies anders zijn.
Een wachtwoord-hash genereren
Eerst maken we een terminal op vanaf het applicatiemenu van Ubuntu.
Nu genereren we een versluierd wachtwoord voor de configuratiebestanden van Grub. Typ gewoon grub-mkpasswd-pbkdf2 en druk op Enter. Het zal u om een wachtwoord vragen en u een lange reeks geven. Selecteer de reeks met uw muis, klik er met de rechtermuisknop op en selecteer Kopiëren om deze naar uw klembord te kopiëren voor later.
Deze stap is technisch optioneel - we kunnen ons wachtwoord in platte tekst invoeren in de configuratiebestanden van Grub, maar deze opdracht verdoezelt het en biedt extra beveiliging.
Een wachtwoord instellen
Type sudo nano /etc/grub.d/ 40_custom om het 40_custombestand in de Nano-teksteditor te openen. Dit is de plaats waar je je eigen aangepaste instellingen zou moeten zetten. Ze kunnen worden overschreven door nieuwere versies van Grub als je ze elders toevoegt.
Blader naar de onderkant van het bestand en voeg een wachtwoord toe in de volgende indeling:
set superusers = "name"
wachtwoord_pbkdf2 naam [lange reeks van vroeger]
Hier hebben we een superuser genaamd "bob" toegevoegd met ons wachtwoordvan vroeger. We hebben ook een gebruiker met de naam jim toegevoegd met een onveilig wachtwoord in platte tekst.
Merk op dat Bob een superuser is, terwijl Jim dat niet is. Wat is het verschil? Superusers kunnen bootitems bewerken en toegang krijgen tot de Grub-opdrachtregel, terwijl normale gebruikers dit niet kunnen. U kunt specifieke opstartitems toewijzen aan normale gebruikers om hen toegang te geven.
Sla het bestand op door op Ctrl + O en Enter te drukken en druk vervolgens op Ctrl + X om het te verlaten. Uw wijzigingen worden pas van kracht als u de sudo update-grub -opdracht uitvoert;zie het gedeelte Activerende uw wijzigingen voor meer details.
Wachtwoordbeveiliging van opstartgegevens
Het maken van een superuser levert ons het grootste deel van de weg op. Met een superuser geconfigureerd, voorkomt Grub automatisch dat mensen opstartvermeldingen bewerken of toegang krijgen tot de Grub-opdrachtregel zonder een wachtwoord.
Wilt u een specifiek bootitem met een wachtwoord beveiligen, zodat niemand het kan opstarten zonder een wachtwoord op te geven? We kunnen dat ook doen, hoewel het op dit moment een beetje ingewikkelder is.
Eerst zullen we het bestand moeten bepalen dat het bootitem bevat dat je wilt wijzigen. Typ sudo nano /etc/grub.d/ en druk op Tab om een lijst met beschikbare bestanden te bekijken.
Laten we zeggen dat we onze Linux-systemen willen beveiligen met een wachtwoord. Linux boot-ingangen worden gegenereerd door het 10_linux-bestand, dus we zullen het sudo nano /etc/grub.d/ 10_linux commando gebruiken om het te openen. Wees voorzichtig bij het bewerken van dit bestand! Als je je wachtwoord bent vergeten of een onjuist wachtwoord hebt ingevoerd, kun je niet opstarten in Linux tenzij je opstart vanaf een live-cd en je Grub-setup eerst aanpast.
Dit is een lang bestand waar veel dingen aan de hand zijn, dus we raken Ctrl-W om te zoeken naar de regel die we willen. Typ menuentry bij de zoekvraag en druk op Enter. U ziet een regel die begint met printf.
Verander gewoon de
printf "menuentry '${ title}'
bit aan het begin van de regel naar:
printf" menuentry -users name '${ title} "
Hier hebben we Jim toegang gegeven tot onze Linux-bootitems. Bob heeft ook toegang, aangezien hij een supergebruiker is. Als we 'bob' in plaats van 'jim' hebben opgegeven, zou Jim helemaal geen toegang hebben.
Druk op Ctrl-O en Enter en vervolgens op Ctrl-X om het bestand op te slaan en te sluiten nadat het is gewijzigd.
Dit zou mettertijd gemakkelijker moeten worden, aangezien de ontwikkelaars van Grub meer opties aan de grub-mkconfig-opdracht toevoegen.
Uw wijzigingen activeren
Uw wijzigingen worden pas van kracht als u de sudo update-grub -opdracht uitvoert. Deze opdracht genereert een nieuw Grub-configuratiebestand.
Als u met een wachtwoord de standaard bootinvoer hebt ingesteld, ziet u een aanmeldingsprompt wanneer u uw computer opstart.
Als Grub is ingesteld om een opstartmenu weer te geven, kunt u geen opstartitem bewerken of de opdrachtregelmodus gebruiken zonder het wachtwoord van een superuser in te voeren.