Як захистити паролем завантажувач Ubuntu

Завантажувач Grub з Ubuntu дозволяє кожному редагувати записи завантаження або використовувати режим командного рядка за замовчуванням. Захистіть Grub паролем, і ніхто не може їх редагувати - ви навіть можете вимагати пароль перед завантаженням операційних систем.

Параметри конфігурації Grub 2 розділені на декілька файлів замість одного файлу menu.lst, який використовується Grub 1, тому встановлення пароля стало більш складним. Ці кроки застосовуються до Grub 1.99, що використовується в Ubuntu 11.10. Процес може бути різним у майбутніх версіях.

Створення пароля Hash

По-перше, ми запустимо термінал з меню додатків Ubuntu.

Тепер ми створимо заплутаний пароль для конфігураційних файлів Grub. Просто введіть grub-mkpasswd-pbkdf2 і натисніть Enter. Він запросить пароль і надасть довгий рядок. Виберіть рядок за допомогою миші, клацніть її правою кнопкою миші та виберіть команду Копіювати, щоб скопіювати її в буфер обміну надалі.

Цей крок є технічно необов'язковим - ми можемо ввести свій пароль у звичайному тексті в файлах налаштування Grub, але ця команда заплутує його і надає додаткову безпеку..

Встановлення пароля

Тип sudo nano /etc/grub.d/40_custom Щоб відкрити файл 40_custom у текстовому редакторі Nano. Це місце, де ви повинні розмістити власні налаштування. Вони можуть бути перезаписані новими версіями Grub, якщо ви додасте їх у інші місця.

Прокрутіть вниз до нижньої частини файлу та додайте запис пароля в такому форматі:

встановити суперкористувачів = "ім'я"
password_pbkdf2 ім'я [довгий рядок з раніше]

Тут ми додали суперкористувача з назвою “bob” з нашим паролем раніше. Ми також додали користувача з ім'ям jim з небезпечним паролем у вигляді звичайного тексту.

Зверніть увагу, що Боб є суперкористувачем, а Джим - не. Яка різниця? Суперкористувачі можуть редагувати записи завантаження та отримувати доступ до командного рядка Grub, тоді як звичайні користувачі не можуть. Ви можете призначити певні записи завантаження звичайним користувачам, щоб надати їм доступ.

Збережіть файл, натиснувши Ctrl-O і Enter, потім натисніть Ctrl-X, щоб вийти. Ваші зміни не набудуть чинності, доки ви не запустите sudo update-grub команда; докладніше див. у розділі Активація змін.

Захист паролем записів пароля

Створення суперкористувача отримує більшу частину шляху. З налаштованим суперкористувачем, Grub автоматично запобігає редагуванню завантажувальних записів або доступу до командного рядка Grub без пароля.

Хочете захистити паролем певний запис завантаження, щоб ніхто не може завантажувати його без надання пароля? Ми можемо зробити це теж, хоча це трохи складніше на даний момент.

По-перше, нам потрібно визначити файл, який містить запис для завантаження, який ви хочете змінити. Тип sudo nano /etc/grub.d/ і натисніть Tab, щоб переглянути список доступних файлів.

Припустимо, ми хочемо захистити паролем наші системи Linux. Записи завантаження Linux генеруються файлом 10_linux, тому ми будемо використовувати sudo nano /etc/grub.d/10_linux команду, щоб відкрити його. Будьте уважні під час редагування цього файлу! Якщо ви забули свій пароль або ввели невірний, ви не зможете завантажитися в Linux, якщо ви не завантажиться з живого компакт-диска та не змініть спочатку налаштування Grub.

Це довгий файл з великою кількістю матеріалів, тому ми натискаємо Ctrl-W для пошуку потрібної лінії. Тип меню у вікні пошуку і натисніть Enter. Ви побачите рядок, що починається з printf.

Просто змініть

printf “menuentry '$ title'

на початку рядка:

printf “menuentry -users name '$ title”

Тут ми дали Джиму доступ до наших завантажувальних записів Linux. Bob також має доступ, оскільки він є суперкористувачем. Якщо ми вказали “bob” замість “jim”, Джим взагалі не мав би доступу.

Натисніть Ctrl-O і Enter, потім Ctrl-X, щоб зберегти і закрити файл після його зміни.

З часом це має полегшити, оскільки розробники Grub додають додаткові параметри до команди grub-mkconfig.

Активація змін

Ваші зміни не набудуть чинності, доки ви не запустите sudo update-grub команду. Ця команда генерує новий конфігураційний файл Grub.

Якщо ви захистили пароль за замовчуванням, ви побачите запит на вхід під час запуску комп'ютера.

Якщо Grub налаштовано відображати меню завантаження, ви не зможете редагувати запис завантаження або використовувати режим командного рядка без введення пароля суперкористувача.