Zabezpiecz hasłem menu Grub

Żarcie jest od kilku lat Program ładujący GNU / Linux, i udało mu się przewyższyć wydajność i możliwości konfiguracyjne szanowanego LILO, pierwszego, z którym spotkali się użytkownicy wielkiego, darmowego systemu operacyjnego. Ale oczywiście więcej możliwości implikuje, że ci, którzy mają fizyczny dostęp do zespołu, również je będą mieli, więc nie jest to zły pomysł, aby o tym pomyśleć poprawić bezpieczeństwo, i to właśnie pokażemy w tym poście.

Chodzi o władzę dodaj hasło do menu Grub, aby nikt oprócz tych, którzy go znają, nie miał dostępu do niektórych części programu ładującego, takich jak logowanie Tryb odzyskiwania i inne opcje menu i po prostu pozostawienie możliwości uruchomienia komputera w normalnym trybie dostępnym (aby inni użytkownicy mogli go uruchomić i używać, ale bez „dotykania” czegokolwiek w Grub).

Zobaczmy najpierw jak wprowadzić hasło do menu Gruba, co całkowicie wyeliminuje możliwość edycji przekazanych do niego parametrów i tym samym zmodyfikuje jego funkcjonalność. W tym celu musimy otworzyć okno terminala (Ctrl + Alt + T) i wykonać:

 

grub-md5-crypt

Pchamy "Wchodzić" i zostaniemy poproszeni o podanie hasła. Wybieramy jeden i potwierdzamy, a następnie polecenie oferuje nam ciąg stylu ‘$1$f/Nfq$1YrrUM0adYBh/xHCj2UEB1’. Teraz musimy otworzyć plik /boot/grub/menu.lst do edycji:

sudo nano /boot/grub/menu.lst

Tuż przed listą wpisów rozruchowych dodajemy polecenie „hasło”, po którym następują dwie kreski i ciąg otrzymany przez poprzednie polecenie. Mamy więc coś takiego:

password --$1$f/Nfq$1YrrUM0adYBh/xHCj2UEB1

Zapisujemy plik i nie będzie już można uzyskać dostępu do edycji parametrów Gruba, chyba że wpiszemy literę „P” a następnie hasło, które wybraliśmy w poprzednich krokach.

Jeśli zamiast blokować wprowadzanie parametrów chcemy to zrobić dla konkretnego wpisu w menu Grub, to co robimy to kopiujemy wspomnianą linię, a następnie kopiujemy ją między liniami 'tytuł' y 'korzeń'.