Încărcătorul de încărcare Grub de la Ubuntu permite oricui să editeze intrări de încărcare sau să utilizeze modul de linie de comandă în mod implicit. Grub securizat cu o parolă și nimeni nu le poate modifica - puteți chiar să solicitați o parolă înainte de a porni sistemele de operare.
Opțiunile de configurare ale lui Grub 2 sunt împărțite între mai multe fișiere în loc de fișierul single.lst Grub 1 folosit, astfel că stabilirea unei parole a devenit mai complicată. Acești pași se aplică la Grub 1.99, utilizat în Ubuntu 11.10. Procesul poate fi diferit în versiunile viitoare.
Mai întâi vom lansa un terminal din meniul de aplicații al Ubuntu.
Acum vom genera o parolă obfuscată pentru fișierele de configurare ale lui Grub. Doar tastați grub-mkpasswd-pbkdf2 și apăsați Enter. Acesta vă va solicita o parolă și vă va da un șir lung. Selectați șirul cu mouse-ul, faceți clic cu butonul din dreapta pe el și selectați Copiere pentru al copia în clipboard pentru mai târziu.
Acest pas este opțional din punct de vedere tehnic - putem introduce parola în text simplu în fișierele de configurare ale lui Grub, dar această comandă o obfuscates și oferă o securitate suplimentară.
Tip sudo nano /etc/grub.d/40_custom pentru a deschide fișierul 40_custom în editorul de text Nano. Acesta este locul în care trebuie să introduceți propriile setări personalizate. Acestea pot fi suprascrise de versiuni mai noi ale lui Grub dacă le adăugați în altă parte.
Derulați în jos în partea de jos a fișierului și adăugați o intrare de parolă în următorul format:
set superusers = "nume"
password_pbkdf2 nume [șir lung din mai devreme]
Aici am adăugat un superuser numit "bob" cu parola noastră de la mai devreme. De asemenea, am adăugat un utilizator numit jim cu o parolă nesigur în text simplu.
Rețineți că Bob este un superuser în timp ce Jim nu este. Care este diferența? Superuserii pot să editeze intrări de boot și să acceseze linia de comandă Grub, în timp ce utilizatorii normali nu pot. Puteți atribui intrări de boot specifice utilizatorilor obișnuiți pentru a le oferi acces.
Salvați fișierul apăsând Ctrl-O și Enter, apoi apăsați Ctrl-X pentru a ieși. Modificările dvs. nu vor avea efect până când nu executați sudo update-grub comanda; consultați secțiunea Activarea modificărilor pentru mai multe detalii.
Crearea unui superuser ne ajunge cel mai mult. Cu ajutorul unui superuser configurat, Grub previne automat modificarea intrărilor de încărcare sau accesarea liniei de comandă Grub fără o parolă.
Doriți să protejați prin parolă o intrare specifică de boot, astfel încât nimeni să nu o poată încărca fără să furnizeze o parolă? Putem face și asta, deși este puțin mai complicat în acest moment.
În primul rând, va trebui să determinăm fișierul care conține intrarea de boot pe care doriți să o modificați. Tip sudo nano /etc/grub.d/ și apăsați Tab pentru a vizualiza o listă a fișierelor disponibile.
Să presupunem că vrem să protejăm prin parolă sistemele noastre Linux. Intrările de boot Linux sunt generate de fișierul 10_linux, așa că vom folosi sudo nano /etc/grub.d/10_linux comanda pentru ao deschide. Aveți grijă atunci când editați acest fișier! Dacă vă uitați parola sau introduceți una incorectă, nu veți putea să încărcați în Linux decât dacă porniți de pe un CD live și modificați mai întâi configurația Grub.
Acesta este un fișier lung cu multe lucruri, așa că vom lovi Ctrl-W pentru a căuta linia pe care o dorim. Tip menuentry la promptul de căutare și apăsați Enter. Veți vedea o linie care începe cu printf.
Schimbați doar
printf "meniu" $ title '
bit la începutul liniei:
printf "meniu-numele utilizatorului" $ title "
Aici i-am dat lui Jim acces la intrările de boot Linux. Bob mai are acces, din moment ce este un utilizator super. Dacă am specificat "bob" în loc de "Jim", Jim nu ar avea deloc acces.
Apăsați Ctrl-O și Enter, apoi Ctrl-X pentru a salva și a închide fișierul după modificarea acestuia.
Acest lucru ar trebui să devină mai ușor în timp, deoarece dezvoltatorii Grub adaugă mai multe opțiuni la comanda grub-mkconfig.
Modificările dvs. nu vor avea efect până când nu executați sudo update-grub comanda. Această comandă generează un nou fișier de configurare Grub.
Dacă ați protejat cu parolă intrarea implicită de încărcare, veți vedea o solicitare de conectare când porniți computerul.
Dacă Grub este setat să afișeze un meniu de boot, nu veți putea edita o intrare de boot sau nu utilizați modul de linie de comandă fără a introduce parola unui superuser.