Homepage » come » Come proteggere da password il boot loader di Ubuntu

    Come proteggere da password il boot loader di Ubuntu

    Il boot loader Grub di Ubuntu consente a chiunque di modificare le voci di avvio o utilizzare la sua modalità da riga di comando per impostazione predefinita. Secure Grub con una password e nessuno può modificarli - puoi persino richiedere una password prima di avviare i sistemi operativi.

    Le opzioni di configurazione di Grub 2 sono suddivise su più file invece del singolo file menu.lst utilizzato da Grub 1, quindi l'impostazione di una password è diventata più complicata. Questi passaggi si applicano a Grub 1.99, utilizzato in Ubuntu 11.10. Il processo potrebbe essere diverso nelle versioni future.

    Generazione di un hash di password

    Innanzitutto, apriremo un terminale dal menu delle applicazioni di Ubuntu.

    Ora genereremo una password offuscata per i file di configurazione di Grub. Basta digitare grub-mkpasswd-PBKDF2 e premere Invio. Ti verrà richiesta una password e ti darò una lunga stringa. Seleziona la stringa con il tuo mouse, fai clic destro e seleziona Copia per copiarla negli Appunti per dopo.

    Questo passaggio è tecnicamente facoltativo: possiamo inserire la nostra password in formato testo nei file di configurazione di Grub, ma questo comando lo offusca e fornisce ulteriore sicurezza.

    Impostazione di una password

    genere sudo nano /etc/grub.d/40_custom per aprire il file 40_custom nell'editor di testo Nano. Questo è il posto in cui dovresti inserire le tue impostazioni personalizzate. Potrebbero essere sovrascritti dalle nuove versioni di Grub se li aggiungi altrove.

    Scorri fino alla fine del file e aggiungi una password nel seguente formato:

    imposta superusers = "nome"
    nome password_pbkdf2 [stringa lunga precedente]

    Qui abbiamo aggiunto un superutente chiamato "bob" con la nostra password di prima. Abbiamo anche aggiunto un utente chiamato jim con una password non sicura in testo normale.

    Nota che Bob è un superutente mentre Jim non lo è. Qual è la differenza? I superutenti possono modificare le voci di avvio e accedere alla riga di comando di Grub, mentre i normali utenti non possono. È possibile assegnare voci di avvio specifiche agli utenti normali per consentire loro l'accesso.

    Salva il file premendo Ctrl-O e Invio, quindi premi Ctrl-X per uscire. Le modifiche non avranno effetto finché non si esegue il sudo update-grub comando; vedere la sezione Attivare le modifiche per maggiori dettagli.

    Protezione tramite password delle voci di avvio

    La creazione di un superutente ci fa arrivare quasi tutti. Con un superuser configurato, Grub impedisce automaticamente alle persone di modificare le voci di avvio o di accedere alla riga di comando di Grub senza una password.

    Vuoi proteggere con password una specifica voce di avvio in modo che nessuno possa avviarla senza fornire una password? Possiamo farlo anche se al momento è un po 'più complicato.

    Innanzitutto, dovremo determinare il file che contiene la voce di avvio che desideri modificare. genere sudo nano /etc/grub.d/ e premi Tab per visualizzare un elenco dei file disponibili.

    Diciamo che vogliamo proteggere con password i nostri sistemi Linux. Le voci di avvio di Linux sono generate dal file 10_linux, quindi useremo il sudo nano /etc/grub.d/10_linux comando per aprirlo. Fai attenzione quando modifichi questo file! Se si dimentica la password o se ne inserisce una non corretta, non sarà possibile avviare Linux se non si avvia da un CD live e si modifica prima la configurazione di Grub..

    Questo è un file lungo con un sacco di cose in corso, quindi premiamo Ctrl-W per cercare la linea che vogliamo. genere menuentry al prompt di ricerca e premere Invio. Vedrai una riga che inizia con printf.

    Basta cambiare il

    printf "menuentry" $ title '

    bit all'inizio della linea per:

    printf "menuentry -users name" $ ​​title "

    Qui abbiamo dato a Jim l'accesso alle voci di avvio di Linux. Bob ha anche accesso, dal momento che è un super utente. Se avessimo specificato "bob" anziché "jim", Jim non avrebbe avuto alcun accesso.

    Premi Ctrl-O e Invio, quindi Ctrl-X per salvare e chiudere il file dopo averlo modificato.

    Questo dovrebbe essere più facile col passare del tempo, poiché gli sviluppatori di Grub aggiungono più opzioni al comando grub-mkconfig.

    Attivare le tue modifiche

    Le modifiche non avranno effetto finché non si esegue il sudo update-grub comando. Questo comando genera un nuovo file di configurazione di Grub.

    Se hai protetto con password la voce di avvio predefinita, all'avvio del computer vedrai una richiesta di accesso.

    Se Grub è impostato per visualizzare un menu di avvio, non sarà possibile modificare una voce di avvio o utilizzare la modalità riga di comando senza inserire la password di un superutente.