Як захистити паролем меню Grub

9

Як захистити паролем меню Grub від ro recovery nomodesetкоманди. Я хочу, щоб ніхто, якщо у вас немає пароля, щоб внести зміни в меню, щоб спробувати потрапити в recovery.grub

grub2 
Рандол Альберт
джерело
Це не зовсім зрозуміло. Ви хочете захистити паролем можливість завантаження або можливість редагувати конфігурацію grub / дістатися до консолі grub?
Сет
Переважно і те, і будь ласка, будь ласка, покажіть мені команди докладно, я начебто новачок у Linux
Рандол Альберт
Існує можливість вимкнути режим відновлення в grub, а також зробити так, щоб grub не з’являвся (тобто завантажувався прямо на конкретну ОС, яку ви обрали, або якщо у вас є лише одна ОС, завантажте її до цього невідкладно). Вас би це зацікавило? Повідомте мене, якщо ви хочете, я опублікую це як відповідь
Сергій Колодяжний,

Відповіді:

13

Grub дозволяє захистити паролем його конфігурацію та консоль, а також окремі записи операційної системи. Зверніть увагу, що це не зупинить відданих людей, особливо тих, хто знає, що вони роблять. Але я припускаю, що ви це знаєте. Давайте розпочнемо.

генерувати хеш пароля ..

Ви можете зберігати свій грубний пароль у простому тексті, але це абсолютно небезпечно, і кожен, хто мав доступ до вашого облікового запису, може швидко розібратися в цьому. Щоб запобігти цьому, ми хешируем пароль за допомогою grub-mkpasswd-pbkdf2команди, наприклад: 

user@host~ % grub-mkpasswd-pbkdf2
Enter password: 
Reenter password: 
PBKDF2 hash of your password is grub.pbkdf2.sha512.10000.63553D205CF6E...

Поки ви вводите свій пароль, жодні символи не відображатимуться в терміналі, це запобігає перегляду людей через плечі тощо. Тепер скопіюйте весь свій хеш за допомогою Ctrl+ Shift+ C.

захист конфігурації, консолі ..

Виконати:

sudo nano /etc/grub.d/40_custom

Це створить новий файл конфігурації, який називається 40_customв каталозі конфігурації grub. Тепер додайте рядки: 

set superusers="username"  
password_pbkdf2 username hash

Де usernameє ім'я користувача, яке ви обрали, і hashхеш, який ми створили в останній команді. Натисніть Ctrl+, Oа потім Ctrl+, Xщоб зберегти та вийти. Виконати:

sudo update-grub

Щоб доопрацювати зміни. Тепер, коли хтось спробує відредагувати конфігурацію grub або отримати доступ до консолі grub, він запропонує їм ім'я користувача та пароль.

захист паролем записів операційної системи ..

В даний час єдиний спосіб досягти цього я можу знайти - це редагувати /boot/grub/grub.cfgвручну. Це лише тимчасово, оскільки будь-яке нове оновлення ядра перепише цей файл, і ваші паролі будуть відсутній (зауважте, що це не впливає на консоль / редагування пароля, який ми встановили вище). Усі інші методи, які я знайшов до цього часу, надзвичайно застаріли, і я більше не можу змусити їх працювати.

Я поцікавився списком розсилки, якщо існує більш новий метод, і редагую цю відповідь, як тільки я дізнаюся.

Сет
джерело
3
Grub 2.0+ запитує пароль для завантаження після цих маніпуляцій. Це тому, що зараз усі записи за замовчуванням "обмежені". Для завантаження без пароля потрібно додати "необмежений" до необхідних елементів завантаження .
Раз
6

У посібнику GRUB є розділ про безпеку . Це говорить про те, як захистити паролем меню завантаження GRUB, щоб обмежити доступ до певних операцій або варіантів завантаження. Він містить невеликий приклад.

NZD
джерело
1
якщо приклад невеликий, ви можете додати свою відповідь
rpax
2
@rpax: відповідь Сет уже містить приклад. Він додав свою відповідь після того, як я розмістив свою.
NZD
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.