Jak chránit heslem Ubuntu Boot Loader
Zaváděcí zavaděč Ubuntu Grub umožňuje komukoli upravovat zaváděcí položky nebo standardně používat režim příkazového řádku. Zabezpečte Grub pomocí hesla a nikdo je nemůže upravovat - před zavedením operačních systémů můžete dokonce vyžadovat heslo.
Možnosti konfigurace Grub 2 jsou rozděleny do několika souborů namísto jediného souboru menu.lst Grub 1, takže nastavení hesla se stalo složitějším. Tyto kroky platí pro Grub 1.99, který se používá v Ubuntu 11.10. Proces může být v budoucích verzích odlišný.
Generování hesla
Nejdříve spustíme terminál z nabídky aplikací Ubuntu.
Nyní vytvoříme zmatené heslo pro konfigurační soubory Grub. Stačí napsat grub-mkpasswd-pbkdf2 a stiskněte klávesu Enter. Bude vás vyzvat k zadání hesla a dáte vám dlouhý řetězec. Vyberte řetězec myší, klepněte pravým tlačítkem na něj a vyberte možnost Kopírovat a zkopírujte jej do schránky pro pozdější použití.
Tento krok je technicky nepovinný - můžeme zadat své heslo v běžném textu v konfiguračních souborech Grub, ale tento příkaz ho obohacuje a poskytuje další zabezpečení.
Nastavení hesla
Typ sudo nano /etc/grub.d/40_custom otevřete soubor 40_custom v textovém editoru Nano. Toto je místo, kde byste měli nastavit vlastní nastavení. Mohou být přepsány novějšími verzemi Grub, pokud je přidáte jinde.
Posuňte dolů do dolní části souboru a přidejte položku hesla v následujícím formátu:
nastavit superuživatele = "jméno"
heslo_pbkdf2 jméno [dlouhý řetězec od dřívější]
Zde jsme přidali superuživatele s názvem "bob" s heslem od dříve. Přidali jsme také uživatele s jménem jim s nezabezpečeným heslem v prostém textu.
Všimněte si, že Bob je superuser, zatímco Jim není. Jaký je v tom rozdíl? Uživatelé superuserů mohou upravovat zaváděcí položky a přistupovat k příkazovému řádku Grub, zatímco běžní uživatelé nemohou. Můžete přiřadit specifickým spouštěcím položkám normálním uživatelům, abyste jim umožnili přístup.
Soubor uložte stisknutím kombinace kláves Ctrl-O a klávesou Enter a poté klávesou Ctrl-X opustíte. Změny se nebudou projevovat, dokud nespustíte sudo update-grub příkaz; více informací naleznete v části Aktivace změn.
Ochrana heslem při spouštění položek
Vytvoření superužívače nás dostává nejvíce. S nakonfigurovaným superuživatelem Grub automaticky zabrání lidem v úpravě zaváděcích položek nebo v přístupu k příkazovému řádku Grub bez hesla.
Chci chránit heslem konkrétní spouštěcí položku tak, aby se nikdo nemohl zavést bez zadání hesla? Můžeme to udělat i my, i když je to v tuto chvíli trochu komplikovanější.
Nejprve je třeba určit soubor, který obsahuje zaváděcí položku, kterou chcete upravit. Typ sudo nano /etc/grub.d/ a stisknutím tlačítka Tab zobrazíte seznam dostupných souborů.
Řekněme, že chceme chránit heslem naše systémy Linux. Zaváděcí položky Linuxu jsou generovány souborem 10_linux, takže použijeme sudo nano /etc/grub.d/10_linux příkaz otevřít. Buďte opatrní při editaci tohoto souboru! Pokud zapomenete své heslo nebo zadáte nesprávné heslo, nebudete moci zavést systém do systému Linux, pokud nebudete spouštět ze živého disku CD a nejprve změníte nastavení Grub.
Jedná se o dlouhý soubor se spoustou věcí, takže stiskneme klávesu Ctrl-W pro hledání řádku, který chceme. Typ menuentry na vyhledávacím řádku a stiskněte klávesu Enter. Uvidíte čáru začínající na printf.
Stačí změnit
printf "menuentry" $ title '
bit na začátku řádku:
printf "menuentry - uživatelské jméno '$ title"
Zde jsme Jimovi umožnili přístup k našim zaváděcím položkám pro systém Linux. Bob má také přístup, protože je super uživatel. Pokud jsme zadali "bob" namísto "jim", Jim by vůbec neměl přístup.
Stiskněte klávesy Ctrl-O a Enter, poté Ctrl-X pro uložení a zavření souboru po jeho úpravě.
To by mělo být časově snadnější, protože vývojáři Grubu přidávají do příkazu grub-mkconfig další možnosti.
Aktivace změn
Změny se nebudou projevovat, dokud nespustíte sudo update-grub příkaz. Tento příkaz generuje nový konfigurační soubor Grub.
Pokud jste heslem chránili výchozí zaváděcí položku, při spuštění počítače se zobrazí výzva k přihlášení.
Pokud je Grub nastaven tak, aby zobrazoval nabídku zavádění, nebudete moci upravovat zaváděcí položku ani používat režim příkazového řádku, aniž byste zadali heslo pro superuser.