Ako chrániť heslom Ubuntu Boot Loader
Spúšťač systému Grub od spoločnosti Ubuntu umožňuje ľubovoľne upraviť zavádzacie položky alebo použiť predvolene režim príkazového riadku. Zabezpečte Grub s heslom a nikto ich nemôže upravovať - pred spustením operačných systémov môžete dokonca vyžadovať heslo.
Možnosti konfigurácie Grub 2 sú rozdelené do viacerých súborov namiesto jediného súboru menu.lst Grub 1, takže nastavenie hesla je komplikovanejšie. Tieto kroky sa vzťahujú na Grub 1.99, ktorý sa používa v Ubuntu 11.10. Proces môže byť v budúcich verziách iný.
Generovanie hesla Hash
Najprv budeme spustiť terminál z ponuky aplikácií Ubuntu.
Teraz vygenerujeme nezmyselné heslo pre konfiguračné súbory Grub. Stačí napísať grub-mkpasswd-PBKDF2 a stlačte kláves Enter. Bude vás vyzýva na zadanie hesla a poskytne vám dlhý reťazec. Vyberte reťazec myšou, kliknite naň pravým tlačidlom myši a zvoľte Kopírovať, ak ho skopírujete do schránky.
Tento krok je technicky nepovinný - môžeme zadať naše heslo v obyčajnom texte v konfiguračných súboroch spoločnosti Grub, ale tento príkaz ho obohacuje a poskytuje ďalšie zabezpečenie.
Nastavenie hesla
typ sudo nano /etc/grub.d/40_custom otvoriť súbor 40_custom v textovom editore Nano. Toto je miesto, kde by ste mali vložiť svoje vlastné nastavenia. Môžu byť prepísané novšími verziami Grub, ak ich pridáte inde.
Prejdite nadol do dolnej časti súboru a pridajte položku pre heslo v nasledujúcom formáte:
nastaviť superusery = "name"
heslo_pbkdf2 meno [dlhý reťazec z predchádzajúceho]
Tu sme pridali superužívateľa s názvom "bob" s našim heslom z predchádzajúcich. Pridali sme aj používateľ s názvom jim s neistým heslom v holom texte.
Berte na vedomie, že Bob je superuser, kým Jim nie je. Aký je rozdiel? Používatelia superuserov môžu upravovať bootovacie položky a pristupovať k príkazu Grub, zatiaľ čo bežní používatelia nemôžu. Môžete priradiť konkrétnym spúšťacím položkám normálnym používateľom, aby im poskytli prístup.
Uložte súbor stlačením klávesov Ctrl-O a Enter, potom stlačte Ctrl-X na ukončenie. Vaše zmeny sa prejavia až po spustení sudo update-grub príkaz; viac informácií nájdete v časti Aktivácia zmien.
Zabezpečenie hesiel pri spúšťaní položiek
Vytváranie superužívateľa nás najviac odcestuje. S nakonfigurovaným superužívateľom Grub automaticky zabraňuje ľuďom editovať bootovacie položky alebo pristupovať k príkazu Grub bez hesla.
Chcete chrániť konkrétny spúšťací záznam heslom tak, aby ho nikto nemohol zaviesť bez zadania hesla? Môžeme to urobiť aj napriek tomu, že je to v súčasnosti trochu komplikovanejšie.
Najprv budeme musieť určiť súbor, ktorý obsahuje zavádzací záznam, ktorý chcete upraviť. typ sudo nano /etc/grub.d/ a stlačením tlačidla Tab zobrazíte zoznam dostupných súborov.
Povedzme, že chceme ochrániť heslom naše systémy Linux. Linuxové zavádzacie položky sú generované súborom 10_linux, takže použijeme sudo nano /etc/grub.d/10_linux príkaz otvoriť. Buďte opatrní pri úprave tohto súboru! Ak zabudnete svoje heslo alebo zadáte nesprávne heslo, nebudete môcť zavádzať do Linuxu, kým neštartujete zo živého disku CD a najprv upravíte nastavenie Grub.
Jedná sa o dlhý súbor s množstvom vecí, ktoré sa deje, a preto stlačíme klávesovú skratku Ctrl-W a vyhľadáme riadok, ktorý chceme. typ menuentry do vyhľadávacieho poľa a stlačte kláves Enter. Uvidíte riadok začínajúci na printf.
Stačí zmeniť
printf "menuentry" $ title '
bit na začiatku riadku:
printf "menuentry - meno používateľa '$ title"
Dali sme Jimovi prístup k našim spúšťacím položkám Linux. Bob má tiež prístup, keďže je super používateľom. Ak sme zadali "bob" namiesto "Jim", Jim by nemal žiadny prístup.
Stlačte klávesy Ctrl-O a Enter, potom Ctrl-X uložte a zatvorte súbor po jeho úprave.
Toto by malo byť časom uľahčené, keďže vývojári Grubu pridajú do príkazu grub-mkconfig ďalšie možnosti.
Aktivácia zmien
Vaše zmeny sa prejavia až po spustení sudo update-grub Príkaz. Tento príkaz generuje nový konfiguračný súbor Grub.
Ak ste heslom chránili predvolenú položku zavádzania, pri spustení počítača sa zobrazí výzva na prihlásenie.
Ak je Grub nastavený na zobrazenie ponuky zavádzania, nebudete môcť upraviť boot záznam alebo použiť režim príkazového riadku bez zadania hesla superužívateľa.