17Aug
Încărcătorul de încărcare Grub de la Ubuntu permite oricui să editeze intrări de boot sau să utilizeze modul de linie de comandă în mod implicit. Grub securizat cu o parolă și nimeni nu le poate modifica - puteți chiar să solicitați o parolă înainte de a porni sistemele de operare.
Opțiunile de configurare ale lui Grub 2 sunt împărțite în mai multe fișiere în loc de fișierul single.lst din meniu.lst Grub 1 utilizat, așadar setarea unei parole a devenit mai complicată.Acești pași se aplică la Grub 1.99, utilizat în Ubuntu 11.10.Procesul poate fi diferit în versiunile viitoare.
Generarea unei parole Hash
În primul rând, vom declanșa un terminal din meniul de aplicații al Ubuntu.
Acum vom genera o parolă obfuscată pentru fișierele de configurare ale lui Grub. Doar tastați grub-mkpasswd-pbkdf2 și apăsați Enter. Acesta vă va solicita o parolă și vă va da un șir lung. Selectați șirul cu mouse-ul, faceți clic cu butonul din dreapta pe el și selectați Copiere pentru al copia în clipboard pentru mai târziu.
Acest pas este opțional din punct de vedere tehnic - putem introduce parola în text simplu în fișierele de configurare ale lui Grub, dar această comandă o obfuscates și asigură o securitate suplimentară.
Setarea unei parole
Tip sudo nano /etc/grub.d/ 40_custom pentru a deschide fișierul 40_custom din editorul de text Nano. Acesta este locul în care trebuie să introduceți propriile setări personalizate. Acestea pot fi suprascrise de versiuni mai noi ale lui Grub dacă le adăugați în altă parte.
Derulați în jos în partea de jos a fișierului și adăugați o intrare de parolă în următorul format:
set superusers = "nume"
password_pbkdf2 nume [șir lung de la început]
Aici am adăugat un superuser numit "bob"de la început. De asemenea, am adăugat un utilizator numit jim cu o parolă nesigur în text simplu.
Rețineți că Bob este un superuser în timp ce Jim nu este. Care este diferența? Superuserii pot să editeze intrări de boot și să acceseze linia de comandă Grub, în timp ce utilizatorii normali nu pot. Puteți atribui intrări de boot specifice utilizatorilor obișnuiți pentru a le oferi acces.
Salvați fișierul apăsând Ctrl-O și Enter, apoi apăsați Ctrl-X pentru a ieși. Modificările dvs. nu vor avea efect până când nu executați comanda sudo update-grub ;consultați secțiunea Activarea modificărilor pentru mai multe detalii.
Protecția prin parolă Înregistrări de boot
Crearea unui superuser ne face cea mai mare parte a drumului. Cu ajutorul unui superuser configurat, Grub previne automat modificarea intrărilor de încărcare sau accesarea liniei de comandă Grub fără o parolă.
Doriți să protejați cu parolă o anumită intrare de boot, astfel încât nimeni să nu o poată încărca fără să furnizeze o parolă?Putem face și asta, deși este puțin mai complicat în acest moment.
Mai întâi, va trebui să determinăm fișierul care conține intrarea de boot pe care doriți să o modificați. Introduceți sudo nano /etc/grub.d/ și apăsați pe Tab pentru a vizualiza o listă a fișierelor disponibile.
Să presupunem că vrem să protejăm cu parolă sistemele noastre Linux. Intrările de boot Linux sunt generate de fișierul 10_linux, deci vom folosi comanda sudo nano /etc/grub.d/ 10_linux pentru ao deschide. Aveți grijă atunci când editați acest fișier! Dacă vă uitați parola sau introduceți una incorectă, nu veți putea să încărcați în Linux decât dacă porniți de pe un CD live și modificați mai întâi configurația Grub.
Acesta este un fișier lung cu multe lucruri, așa că vom lovi Ctrl-W pentru a căuta linia dorită.Introduceți meniul la promptul de căutare și apăsați Enter. Veți vedea o linie care începe cu printf.
Modificați doar bitul
printf "menentry" ${ title} '
de la începutul liniei la:
printf "menuentry -users name' ${ title}"
Aici i-am dat lui Jim accesul la intrările de boot Linux. Bob mai are acces, din moment ce este un utilizator super. Dacă am specificat "bob" în loc de "Jim", Jim nu ar avea deloc acces.
Apăsați Ctrl-O și Enter, apoi Ctrl-X pentru a salva și a închide fișierul după ce a fost modificat.
Acest lucru ar trebui să devină mai ușor în timp, deoarece dezvoltatorii Grub adaugă mai multe opțiuni la comanda grub-mkconfig.
Activarea modificărilor
Modificările dvs. nu vor avea efect până când nu executați comanda sudo update-grub .Această comandă generează un nou fișier de configurare Grub.
Dacă protejați cu parolă intrarea implicită de încărcare, veți vedea o solicitare de conectare când porniți computerul.
Dacă Grub este setat să afișeze un meniu de pornire, nu veți putea să editați o intrare de boot sau să utilizați modul linie de comandă fără a introduce parola superuserului.