17Aug

Hur man skyddar Ubuntu Boot Loader

Ubuntus Grub boot loader låter vem som helst redigera uppstartsposter eller använda sitt kommandoradsläge som standard. Secure Grub med ett lösenord och ingen kan redigera dem - du kan till och med kräva ett lösenord innan du startar operativsystem.

Grub 2s konfigurationsalternativ är uppdelade på flera filer istället för den enkla menyn.lst-filen Grub 1 som används, så inställningen av ett lösenord har blivit mer komplicerat. Dessa steg gäller för Grub 1.99, som används i Ubuntu 11.10.Processen kan vara annorlunda i framtida versioner.

Generera ett lösenordshash

Först ska vi skjuta upp en terminal från Ubuntus programmeny.

Nu genererar vi ett obfuscated lösenord för Grubs konfigurationsfiler. Skriv bara grub-mkpasswd-pbkdf2 och tryck på Enter. Det kommer att leda till ett lösenord och ge dig en lång sträng. Välj strängen med musen, högerklicka på den och välj Kopiera för att kopiera den till klippbordet för senare.

Detta steg är tekniskt frivilligt - vi kan skriva in vårt lösenord i vanlig text i Grubs konfigurationsfiler, men det här kommandot förhindrar det och ger ytterligare säkerhet.

Ställa in ett lösenord

Typ sudo nano /etc/grub.d/ 40_custom för att öppna filen 40_custom i Nano textredigeraren. Det här är platsen där du ska lägga egna anpassade inställningar. De kan skrivas över av nyare versioner av Grub om du lägger till dem någon annanstans.

Bläddra ner till botten av filen och lägg till lösenordspost i följande format:

set superusers = "namn"
password_pbkdf2 namn [lång sträng från tidigare]

Här har vi lagt till en superanvändare som heter "bob" med vårt lösenordfrån tidigare. Vi har också lagt till en användare som heter jim med ett osäkert lösenord i vanlig text.

Observera att Bob är en superanvändare medan Jim inte är. Vad är skillnaden? Superusers kan redigera startposter och komma åt kommandoraden Grub, medan normala användare inte kan. Du kan tilldela specifika uppstartsposter till vanliga användare för att ge dem tillgång.

Spara filen genom att trycka på Ctrl-O och Enter, och tryck sedan på Ctrl-X för att avsluta. Dina ändringar kommer inte att träda i kraft förrän du kör sudo update-grub -kommandot;se avsnittet Aktivera dina ändringar för mer information.

Lösenordsskydda Boot-poster

Att skapa en superanvändare får oss mest av vägen. Med en superanvändare konfigurerad hindrar Grub automatiskt personer från att redigera startposter eller åtkomst till kommandoraden Grub utan ett lösenord.

Vill du lösenordet skydda en viss boot-post så att ingen kan starta den utan att ge ett lösenord? Det kan vi också göra, även om det är lite mer komplicerat just nu.

Först måste vi bestämma den fil som innehåller startalternativet du vill ändra. Skriv sudo nano /etc/grub.d/ och tryck på Tab för att visa en lista över tillgängliga filer.

Låt oss säga att vi vill lösenordsskydda våra Linux-system. Linux boot-poster genereras av filen 10_linux, så vi använder sudo nano /etc/grub.d/ 10_linux -kommandot för att öppna det. Var försiktig när du redigerar den här filen! Om du glömmer ditt lösenord eller anger ett felaktigt kan du inte starta Linux, om du inte startar från en live-CD och ändrar din Grub-inställning först.

Det här är en lång fil med många saker på gång, så vi slår Ctrl-W för att söka efter den linje vi vill ha. Skriv menyutskrift vid sökprompten och tryck på Enter. Du ser en rad som börjar med printf.

Ändra bara

printf "menynsändning" ${ title} '

-bit i början av raden till:

printf "menyns namn -USERS namn" ${ title} "

Här har vi givit Jim tillgång till våra Linux-uppstartsposter. Bob har också tillgång, eftersom han är en superanvändare. Om vi ​​angav "bob" istället för "Jim" skulle Jim inte ha någon åtkomst alls.

Tryck Ctrl-O och Enter, sedan Ctrl-X för att spara och stänga filen efter att du har ändrat den.

Detta ska bli lättare över tiden eftersom Grubs utvecklare lägger till fler alternativ till kommandot grub-mkconfig.

Aktivera dina ändringar

Dina ändringar träder inte i kraft förrän du kör sudo update-grub -kommandot. Detta kommando genererar en ny Grub-konfigurationsfil.

Om du har lösenordsskyddad standard boot-post kommer du att se en inloggningsprompning när du startar datorn.

Om Grub är inställd för att visa en startmeny, kommer du inte att kunna redigera en startpost eller använda kommandoradsläge utan att ange ett superanvändares lösenord.