Astra linux пароль для grub

Изменение параметров загрузчика Grub2

В общем случае, после внесения изменений в конфигурационные файлы загрузчика (файл /etc/default/grub или файлы в каталоге /etc/grub.d/) для вступления изменений в силу следует выполнить команду обновления загрузчика:

При этом будет переписан файл /boot/grub/grub.cfg, и все внесенные в него изменения будут утеряны.

Для внесения изменений в конфигурационные файлы требуются права суперпользователя (при включенном МКЦ — права суперпользователя с высоким уровнем целостности).

Установка и изменение пароля для меню загрузчика

Системный загрузчик GRUB2 поддерживает возможность задания паролей в открытом виде, и многие инструкции предлагают именно такой способ. В настоящей инструкции предлагается более безопасный способ задания пароля в виде хеша. Независимо от выбранного способа рекомендуется максимально ограничить доступ к файлу с паролем .

Для смены пароля системного загрузчика необходимо создать хеш нового пароля и заменить им старый хеш:

Для генерации хеша выполнить команду и дважды ввести новый пароль:

Полученный хеш (начиная со слова grub) скопировать в буфер (например, выделив его с помощью мыши, и нажав правую кнопку мыши выбрать «копировать»);

#!/bin/bash cat << EOF
set superusers=» username »
password_pbkdf2 username grub.pbkdf2.sha512.10000.9C319610666.
EOF

Цветами условно обозначены имя пользователя (красный) и созданный кеш (зеленый), в реальном редакторе цветовых обозначений нет.

Можно отключить запрос пароля grub, например для записи Windows. Для этого в файла /boot/grub/grub.cfg в параметрах загрузочного меню (строка, начинающаяся с «menuentry») указать (добавить) параметр —unrestricted, например:

. --class gnu-linux --class gnu --class os --unrestricted .

Изменения, сделанные в файле /etc/grub/grub.cfg не будут сохраняться после выполнения команды обновления загрузчика update-grub.

Для того, чтобы изменения сделать постоянными нужный элемент меню можно добавить в файл /etc/grub.d/40_custom, указав в нем все необходимые параметры. Например, для создания элемента меню «Windows 10 без пароля» для загрузки Windows 10 без запроса пароля (опция —unrestricted) добавить следующие строки:

menuentry "Windows 10 без пароля" --class windows --class os --unrestricted < insmod ntfs search --no-floppy --set=root --fs-uuid ntldr /bootmgr >

В качестве образца для создания своего элемента меню можно использовать записи menuentry из файла /boot/grub/grub.cfg.

Запрет загрузки в режиме восстановления. Таймаут ожидания выбора при загрузке.

Для того, чтобы запретить варианты загрузки в режиме восстановления:

Открыть в редакторе файл /etc/default/grub:

Пункты меню, позволяющие выбрать для загрузки режим восстановления, можно убрать из меню и путем редактирования файла /boot/grub/grub.cfg (см. ниже, но эти изменения не будут сохраняться после выполнения команды обновления загрузчика update-grub.

Запрет выбора загрузки ядра GENERIC

Для того, чтобы запретить все варианты загрузки, кроме варианта HARDENED:

С правами суперпользователя открыть в редакторе файл /boot/ grub/ grub/grub.cfg:

#menuentry ‘AstraLinuxCE GNU/Linux, с Linux 4.15.3-1-generic’ —class astralinuxce —class gnu-linux —class gnu —class os —unrestricted $menuentry_id_option ‘gnulinux-4.15.3-1-generic-advanced-f923f219-185e-4747-9066-6b09fd0103ae’ <
# load_video
# insmod gzio
# if [ x$grub_platform = xxen ]; then insmod xzio; insmod lzopio; fi
# insmod part_msdos
# insmod ext2
# set root=’hd0,msdos1′
# if [ x$feature_platform_search_hint = xy ]; then
# search —no-floppy —fs-uuid —set=root —hint-bios=hd0,msdos1 —hint-efi=hd0,msdos1 —hint-baremetal=ahci0,msdos1 f923f219-185e-4747-9066-6b09fd0103ae
# else
# search —no-floppy —fs-uuid —set=root f923f219-185e-4747-9066-6b09fd0103ae
# fi
# echo ‘Загружается Linux 4.15.3-1-generic …’
# linux /boot/vmlinuz-4.15.3-1-generic root=UUID=f923f219-185e-4747-9066-6b09fd0103ae ro quiet net.ifnames=0
# echo ‘Загружается начальный виртуальный диск …’
# initrd /boot/initrd.img-4.15.3-1-generic
#>

Изменения, сделанные в файле /etc/grub/grub.cfg не будут сохраняться после выполнения команды обновления загрузчика update-grub.

Настройка выбора ядра для загрузки

Для указания ядра, загружаемого по умолчанию используется параметр GRUB_DEFAULT в файле /etc/default/grub. Значением этого параметра может быть:

• число — порядковый номер элемента выбора ядра меню загрузчика. Нумерация начинается с нуля;
• идентификатор элемента меню загрузчика. Например:

GRUB_DEFAULT=gnulinux-5.15.0-70-hardened-advanced-4d59e93e-ab3e-4f05-be84-1774cd76ab8d

Получить список элементов меню выбора ядра можно командой:

menuentry 'AstraLinux GNU/Linux, with Linux 5.15.0-70-lowlatency' --class astralinux --class gnu-linux --class gnu --class os --unrestricted $menuentry_id_option 'gnulinux-5.15.0-70-lowlatency-advanced-4d59e93e-ab3e-4f05-be84-1774cd76ab8d' < menuentry 'AstraLinux GNU/Linux, with Linux 5.15.0-70-lowlatency (recovery mode)' --class astralinux --class gnu-linux --class gnu --class os --unrestricted $menuentry_id_option 'gnulinux-5.15.0-70-lowlatency-recovery-4d59e93e-ab3e-4f05-be84-1774cd76ab8d' < menuentry 'AstraLinux GNU/Linux, with Linux 5.15.0-70-hardened' --class astralinux --class gnu-linux --class gnu --class os --unrestricted $menuentry_id_option 'gnulinux-5.15.0-70-hardened-advanced-4d59e93e-ab3e-4f05-be84-1774cd76ab8d' < menuentry 'AstraLinux GNU/Linux, with Linux 5.15.0-70-hardened (recovery mode)' --class astralinux --class gnu-linux --class gnu --class os --unrestricted $menuentry_id_option 'gnulinux-5.15.0-70-hardened-recovery-4d59e93e-ab3e-4f05-be84-1774cd76ab8d' < menuentry 'AstraLinux GNU/Linux, with Linux 5.15.0-70-generic' --class astralinux --class gnu-linux --class gnu --class os --unrestricted $menuentry_id_option 'gnulinux-5.15.0-70-generic-advanced-4d59e93e-ab3e-4f05-be84-1774cd76ab8d' < menuentry 'AstraLinux GNU/Linux, with Linux 5.15.0-70-generic (recovery mode)' --class astralinux --class gnu-linux --class gnu --class os --unrestricted $menuentry_id_option 'gnulinux-5.15.0-70-generic-recovery-4d59e93e-ab3e-4f05-be84-1774cd76ab8d' < menuentry 'AstraLinux GNU/Linux, with Linux 5.10.176-1-hardened' --class astralinux --class gnu-linux --class gnu --class os --unrestricted $menuentry_id_option 'gnulinux-5.10.176-1-hardened-advanced-4d59e93e-ab3e-4f05-be84-1774cd76ab8d' < menuentry 'AstraLinux GNU/Linux, with Linux 5.10.176-1-hardened (recovery mode)' --class astralinux --class gnu-linux --class gnu --class os --unrestricted $menuentry_id_option 'gnulinux-5.10.176-1-hardened-recovery-4d59e93e-ab3e-4f05-be84-1774cd76ab8d' < menuentry 'AstraLinux GNU/Linux, with Linux 5.10.176-1-generic' --class astralinux --class gnu-linux --class gnu --class os --unrestricted $menuentry_id_option 'gnulinux-5.10.176-1-generic-advanced-4d59e93e-ab3e-4f05-be84-1774cd76ab8d' < menuentry 'AstraLinux GNU/Linux, with Linux 5.10.176-1-generic (recovery mode)' --class astralinux --class gnu-linux --class gnu --class os --unrestricted $menuentry_id_option 'gnulinux-5.10.176-1-generic-recovery-4d59e93e-ab3e-4f05-be84-1774cd76ab8d' < menuentry 'AstraLinux GNU/Linux, with Linux 5.4.0-110-generic' --class astralinux --class gnu-linux --class gnu --class os --unrestricted $menuentry_id_option 'gnulinux-5.4.0-110-generic-advanced-4d59e93e-ab3e-4f05-be84-1774cd76ab8d' < menuentry 'AstraLinux GNU/Linux, with Linux 5.4.0-110-generic (recovery mode)' --class astralinux --class gnu-linux --class gnu --class os --unrestricted $menuentry_id_option 'gnulinux-5.4.0-110-generic-recovery-4d59e93e-ab3e-4f05-be84-1774cd76ab8d' 
Идентификаторы элементов меню, которые можно использовать для задания умолчания, находятся после параметра $menuentry_id_option .
Получить список элементов меню с их номерами можно командой:
0 AstraLinux GNU/Linux, with Linux 5.15.0-70-lowlatency 1 AstraLinux GNU/Linux, with Linux 5.15.0-70-lowlatency (recovery mode) 2 AstraLinux GNU/Linux, with Linux 5.15.0-70-hardened 3 AstraLinux GNU/Linux, with Linux 5.15.0-70-hardened (recovery mode) 4 AstraLinux GNU/Linux, with Linux 5.15.0-70-generic 5 AstraLinux GNU/Linux, with Linux 5.15.0-70-generic (recovery mode) 6 AstraLinux GNU/Linux, with Linux 5.10.176-1-hardened 7 AstraLinux GNU/Linux, with Linux 5.10.176-1-hardened (recovery mode) 8 AstraLinux GNU/Linux, with Linux 5.10.176-1-generic 9 AstraLinux GNU/Linux, with Linux 5.10.176-1-generic (recovery mode) 10 AstraLinux GNU/Linux, with Linux 5.4.0-110-generic 11 AstraLinux GNU/Linux, with Linux 5.4.0-110-generic (recovery mode)
 
После внесения изменений в файл /etc/default/grub обновить параметры загрузчика:
 
Источник
 
Как поставить пароль на GRUB и GRUB2 в Linux
 
 
Приветствую Вас, мои дорогие параноики! Сегодня я покажу как как поставить пароль на GRUB в Astra Linux или любом другом Линуксе. Зачем? Для защиты как обычного компьютера, так и сервера. Всё зависит от важности содержащейся на нём информации. Механизм такой защиты прост — создаётся отдельный пользователь для него. Я пошагово покажу как это сделать и расскажу про нюансы и особенности.
 
1. Генерация хэш-пароля 
В этом нам поможет утилита grub-mkpasswd-pbkdf2. В Ubuntu и Astra Linux она уже есть по умолчанию. Если у Вас она не установлена в систему — установите. Генерация хэша пароля выполняется вот такой командой в терминале:
 
От Вас потребуется дважды ввести будущий пароль для GRUB или GRUB2. Результатом будет хэш – это длинная строка, которая начинается с grub.pbkdf2. Пример:
 
 
Скопируйте всю это длинную цепочку букв и цифр в блокнот.
 
2. Изменить настройки
 
Теперь необходимо будет назначить супер-пользователя для GRUB. Делаем это через файл /etc/grub.d/00_header. Но сначала в любом редакторе Чтобы было удобнее, сначала в любом редакторе делаем вот такую конструкцию:
 
Тут вместо user_name во второй и третьей строчках надо будет придумать и указать имя супер-пользователя GRUB, а также замените хэш пароль на свой.
 
Теперь открываем файл загрузчика вот такой командой:
 
Его надо прокрутить до конца и с новой строки вставить подготовленную выше конструкцию. Вот так вот:
 
 
Сохраняем изменения в файле.
 
3. Обновить конфигурацию
 
Чтобы изменения в настройке загрузчика вступили в силу, нужно обязательно обновить его конфигурацию вот такой командой:
 
Результат выполнения будет примерно такой:
 
 
4. Проверить работу
 
Результатом будет запрос пароля загрузчика:
 
 
Без ввода пароля система дальше не загрузится. Profit!
 
Источник
 
Не удается установить пароль для загрузчика grub.
 
Делаю по инструкции https://wiki.astralinux.ru/pages/viewpage.action?pageId=18874503 
Система гостевая на virtualbox в UEFI 
Выполняю команду grub-mkpasswd-pbkdf2, создаю файл /etc/grub.d/07_password, помещаю то что описано в инструкции вместе со скопированным хэшем, устанавливаю права 700, ввожу команду sudo update-grub, перезагружаю машину. Пароль от grub2 не запрашивается. То есть ничего нового при загрузке системы не происходит.
 
Montfer
 
New member
 
Андрей Д
 
New member
 
cat set superusers="admin" 
password_pbkdf2 admin grub.pbkdf2.sha512.10000.0F243BFA8E7738883C7FD69574527DBE91600AFA255B80F97439726FCD887EA7DC 
2577056E6DFF1987B17B7314D3F61E8BD0D3B86CE1B0ED32532EEE015ADBBE.79896BCB49F438191CE9112FA802E4A1DA6A0D1226DA44FE05 
01BC365155F3225172D60076ACBD395F90BF6F56EB147014565DBAE66CDF40C7B142A518B3364A 
EOF
 
Montfer
 
New member
 
не знаю. включил efi на виртуалке, установил чистый 2.12.45, копировал и содержимое твоего файла, и свой вписывал - запрос логина и пароля всегда появлялся. 
или версия виртуалки у меня не та (до сих пор сижу на 6.1.28), или версия астры не 2.12.45, или стоит не скопировать конфиг, а вручную вписать, чтоб проблем с какими нибудь кодировками не произошли
 
Iskatel_znaniy
 
New member
 
не знаю. включил efi на виртуалке, установил чистый 2.12.45, копировал и содержимое твоего файла, и свой вписывал - запрос логина и пароля всегда появлялся. 
или версия виртуалки у меня не та (до сих пор сижу на 6.1.28), или версия астры не 2.12.45, или стоит не скопировать конфиг, а вручную вписать, чтоб проблем с какими нибудь кодировками не произошли
 
У меня тоже не получается. Версия виртуалки 6.1.36. Система 2.12.45. Сделал по той же инструкции, вписал свой конфиг по ней, то есть свой хэш.
 
Источник
 
Получение доступа к машине
 
 
 Дождаться появления меню загрузчика и нажать клавишу "e": 
 
 
Изменяемая часть подчеркнута на снимке экрана): 
 
В этом варианте перезагрузка машины после внесения изменений выполняется командой:
 
В случае, если пароль загрузчика неизвестен
 
 
Выполнить загрузку с установочного диска Astra Linux и выбрать "Режим восстановления"; 
 
 
В этом варианте перезагрузка машины после внесения изменений выполняется двумя командами:
 
Получение имени администратора
 
Создаваемому при установке ОС администратору присваивается числовой идентификатор 1000. В случае, если имя администратора не известно, его можно получить командой:
 
Сброс счетчика неудачных попыток
 
После получения доступа к системе для сброса счетчика неудачных попыток выполнить команду:
 
 при работе с локальными пользователями:
 
 
Пользователя можно указать по отдельному имени, числовому идентификатору или в виде диапазона числовых идентификаторов. Диапазон задается в виде максимального и минимального значений .
 
После сброса счетчика перезагрузить машину.
 
Смена пароля
 
После получения доступа к системе сменить пароль пользователя, для чего в ыполнить команду:
 
После смены пароля перезагрузить ОС.
 
Сброс блокировки учетной записи администратора
 
Если локальный администратор самостоятельно заблокировал свою учетную запись, то для ее разблокирования:
 
 
Загрузить компьютер в режиме восстановления;
 
Выполнить команду: 
 
Источник