- Изменение параметров загрузчика Grub2
- Установка и изменение пароля для меню загрузчика
- Запрет загрузки в режиме восстановления. Таймаут ожидания выбора при загрузке.
- Запрет выбора загрузки ядра GENERIC
- Настройка выбора ядра для загрузки
- Как поставить пароль на GRUB и GRUB2 в Linux
- Не удается установить пароль для загрузчика grub.
- Montfer
- Андрей Д
- Montfer
- Iskatel_znaniy
- Получение доступа к машине
- В случае, если пароль загрузчика неизвестен
- Получение имени администратора
- Сброс счетчика неудачных попыток
- Смена пароля
- Сброс блокировки учетной записи администратора
Изменение параметров загрузчика Grub2
В общем случае, после внесения изменений в конфигурационные файлы загрузчика (файл /etc/default/grub или файлы в каталоге /etc/grub.d/) для вступления изменений в силу следует выполнить команду обновления загрузчика:
При этом будет переписан файл /boot/grub/grub.cfg, и все внесенные в него изменения будут утеряны.
Для внесения изменений в конфигурационные файлы требуются права суперпользователя (при включенном МКЦ — права суперпользователя с высоким уровнем целостности).
Установка и изменение пароля для меню загрузчика
Системный загрузчик GRUB2 поддерживает возможность задания паролей в открытом виде, и многие инструкции предлагают именно такой способ. В настоящей инструкции предлагается более безопасный способ задания пароля в виде хеша. Независимо от выбранного способа рекомендуется максимально ограничить доступ к файлу с паролем .
Для смены пароля системного загрузчика необходимо создать хеш нового пароля и заменить им старый хеш:
- Для генерации хеша выполнить команду и дважды ввести новый пароль:
Полученный хеш (начиная со слова grub) скопировать в буфер (например, выделив его с помощью мыши, и нажав правую кнопку мыши выбрать «копировать»);
#!/bin/bash cat << EOF
set superusers=» username »
password_pbkdf2 username grub.pbkdf2.sha512.10000.9C319610666.
EOF<>
Цветами условно обозначены имя пользователя (красный) и созданный кеш (зеленый), в реальном редакторе цветовых обозначений нет.
Можно отключить запрос пароля grub, например для записи Windows. Для этого в файла /boot/grub/grub.cfg в параметрах загрузочного меню (строка, начинающаяся с «menuentry») указать (добавить) параметр —unrestricted, например:
. --class gnu-linux --class gnu --class os --unrestricted .
Изменения, сделанные в файле /etc/grub/grub.cfg не будут сохраняться после выполнения команды обновления загрузчика update-grub.
Для того, чтобы изменения сделать постоянными нужный элемент меню можно добавить в файл /etc/grub.d/40_custom, указав в нем все необходимые параметры. Например, для создания элемента меню «Windows 10 без пароля» для загрузки Windows 10 без запроса пароля (опция —unrestricted) добавить следующие строки:
menuentry "Windows 10 без пароля" --class windows --class os --unrestricted < insmod ntfs search --no-floppy --set=root --fs-uuid ntldr /bootmgr >
В качестве образца для создания своего элемента меню можно использовать записи menuentry из файла /boot/grub/grub.cfg.
Запрет загрузки в режиме восстановления. Таймаут ожидания выбора при загрузке.
Для того, чтобы запретить варианты загрузки в режиме восстановления:
- Открыть в редакторе файл /etc/default/grub:
Пункты меню, позволяющие выбрать для загрузки режим восстановления, можно убрать из меню и путем редактирования файла /boot/grub/grub.cfg (см. ниже, но эти изменения не будут сохраняться после выполнения команды обновления загрузчика update-grub.
Запрет выбора загрузки ядра GENERIC
Для того, чтобы запретить все варианты загрузки, кроме варианта HARDENED:
- С правами суперпользователя открыть в редакторе файл /boot/ grub/ grub/grub.cfg:
#menuentry ‘AstraLinuxCE GNU/Linux, с Linux 4.15.3-1-generic’ —class astralinuxce —class gnu-linux —class gnu —class os —unrestricted $menuentry_id_option ‘gnulinux-4.15.3-1-generic-advanced-f923f219-185e-4747-9066-6b09fd0103ae’ <
# load_video
# insmod gzio
# if [ x$grub_platform = xxen ]; then insmod xzio; insmod lzopio; fi
# insmod part_msdos
# insmod ext2
# set root=’hd0,msdos1′
# if [ x$feature_platform_search_hint = xy ]; then
# search —no-floppy —fs-uuid —set=root —hint-bios=hd0,msdos1 —hint-efi=hd0,msdos1 —hint-baremetal=ahci0,msdos1 f923f219-185e-4747-9066-6b09fd0103ae
# else
# search —no-floppy —fs-uuid —set=root f923f219-185e-4747-9066-6b09fd0103ae
# fi
# echo ‘Загружается Linux 4.15.3-1-generic …’
# linux /boot/vmlinuz-4.15.3-1-generic root=UUID=f923f219-185e-4747-9066-6b09fd0103ae ro quiet net.ifnames=0
# echo ‘Загружается начальный виртуальный диск …’
# initrd /boot/initrd.img-4.15.3-1-generic
#>
Изменения, сделанные в файле /etc/grub/grub.cfg не будут сохраняться после выполнения команды обновления загрузчика update-grub.
Настройка выбора ядра для загрузки
Для указания ядра, загружаемого по умолчанию используется параметр GRUB_DEFAULT в файле /etc/default/grub. Значением этого параметра может быть:
- число — порядковый номер элемента выбора ядра меню загрузчика. Нумерация начинается с нуля;
- идентификатор элемента меню загрузчика. Например:
GRUB_DEFAULT=gnulinux-5.15.0-70-hardened-advanced-4d59e93e-ab3e-4f05-be84-1774cd76ab8d
Получить список элементов меню выбора ядра можно командой:
menuentry 'AstraLinux GNU/Linux, with Linux 5.15.0-70-lowlatency' --class astralinux --class gnu-linux --class gnu --class os --unrestricted $menuentry_id_option 'gnulinux-5.15.0-70-lowlatency-advanced-4d59e93e-ab3e-4f05-be84-1774cd76ab8d' < menuentry 'AstraLinux GNU/Linux, with Linux 5.15.0-70-lowlatency (recovery mode)' --class astralinux --class gnu-linux --class gnu --class os --unrestricted $menuentry_id_option 'gnulinux-5.15.0-70-lowlatency-recovery-4d59e93e-ab3e-4f05-be84-1774cd76ab8d' < menuentry 'AstraLinux GNU/Linux, with Linux 5.15.0-70-hardened' --class astralinux --class gnu-linux --class gnu --class os --unrestricted $menuentry_id_option 'gnulinux-5.15.0-70-hardened-advanced-4d59e93e-ab3e-4f05-be84-1774cd76ab8d' < menuentry 'AstraLinux GNU/Linux, with Linux 5.15.0-70-hardened (recovery mode)' --class astralinux --class gnu-linux --class gnu --class os --unrestricted $menuentry_id_option 'gnulinux-5.15.0-70-hardened-recovery-4d59e93e-ab3e-4f05-be84-1774cd76ab8d' < menuentry 'AstraLinux GNU/Linux, with Linux 5.15.0-70-generic' --class astralinux --class gnu-linux --class gnu --class os --unrestricted $menuentry_id_option 'gnulinux-5.15.0-70-generic-advanced-4d59e93e-ab3e-4f05-be84-1774cd76ab8d' < menuentry 'AstraLinux GNU/Linux, with Linux 5.15.0-70-generic (recovery mode)' --class astralinux --class gnu-linux --class gnu --class os --unrestricted $menuentry_id_option 'gnulinux-5.15.0-70-generic-recovery-4d59e93e-ab3e-4f05-be84-1774cd76ab8d' < menuentry 'AstraLinux GNU/Linux, with Linux 5.10.176-1-hardened' --class astralinux --class gnu-linux --class gnu --class os --unrestricted $menuentry_id_option 'gnulinux-5.10.176-1-hardened-advanced-4d59e93e-ab3e-4f05-be84-1774cd76ab8d' < menuentry 'AstraLinux GNU/Linux, with Linux 5.10.176-1-hardened (recovery mode)' --class astralinux --class gnu-linux --class gnu --class os --unrestricted $menuentry_id_option 'gnulinux-5.10.176-1-hardened-recovery-4d59e93e-ab3e-4f05-be84-1774cd76ab8d' < menuentry 'AstraLinux GNU/Linux, with Linux 5.10.176-1-generic' --class astralinux --class gnu-linux --class gnu --class os --unrestricted $menuentry_id_option 'gnulinux-5.10.176-1-generic-advanced-4d59e93e-ab3e-4f05-be84-1774cd76ab8d' < menuentry 'AstraLinux GNU/Linux, with Linux 5.10.176-1-generic (recovery mode)' --class astralinux --class gnu-linux --class gnu --class os --unrestricted $menuentry_id_option 'gnulinux-5.10.176-1-generic-recovery-4d59e93e-ab3e-4f05-be84-1774cd76ab8d' < menuentry 'AstraLinux GNU/Linux, with Linux 5.4.0-110-generic' --class astralinux --class gnu-linux --class gnu --class os --unrestricted $menuentry_id_option 'gnulinux-5.4.0-110-generic-advanced-4d59e93e-ab3e-4f05-be84-1774cd76ab8d' < menuentry 'AstraLinux GNU/Linux, with Linux 5.4.0-110-generic (recovery mode)' --class astralinux --class gnu-linux --class gnu --class os --unrestricted $menuentry_id_option 'gnulinux-5.4.0-110-generic-recovery-4d59e93e-ab3e-4f05-be84-1774cd76ab8d'Идентификаторы элементов меню, которые можно использовать для задания умолчания, находятся после параметра $menuentry_id_option .
Получить список элементов меню с их номерами можно командой:
0 AstraLinux GNU/Linux, with Linux 5.15.0-70-lowlatency 1 AstraLinux GNU/Linux, with Linux 5.15.0-70-lowlatency (recovery mode) 2 AstraLinux GNU/Linux, with Linux 5.15.0-70-hardened 3 AstraLinux GNU/Linux, with Linux 5.15.0-70-hardened (recovery mode) 4 AstraLinux GNU/Linux, with Linux 5.15.0-70-generic 5 AstraLinux GNU/Linux, with Linux 5.15.0-70-generic (recovery mode) 6 AstraLinux GNU/Linux, with Linux 5.10.176-1-hardened 7 AstraLinux GNU/Linux, with Linux 5.10.176-1-hardened (recovery mode) 8 AstraLinux GNU/Linux, with Linux 5.10.176-1-generic 9 AstraLinux GNU/Linux, with Linux 5.10.176-1-generic (recovery mode) 10 AstraLinux GNU/Linux, with Linux 5.4.0-110-generic 11 AstraLinux GNU/Linux, with Linux 5.4.0-110-generic (recovery mode)После внесения изменений в файл /etc/default/grub обновить параметры загрузчика:
Как поставить пароль на GRUB и GRUB2 в Linux
Приветствую Вас, мои дорогие параноики! Сегодня я покажу как как поставить пароль на GRUB в Astra Linux или любом другом Линуксе. Зачем? Для защиты как обычного компьютера, так и сервера. Всё зависит от важности содержащейся на нём информации. Механизм такой защиты прост — создаётся отдельный пользователь для него. Я пошагово покажу как это сделать и расскажу про нюансы и особенности.
1. Генерация хэш-пароля
В этом нам поможет утилита grub-mkpasswd-pbkdf2. В Ubuntu и Astra Linux она уже есть по умолчанию. Если у Вас она не установлена в систему — установите. Генерация хэша пароля выполняется вот такой командой в терминале:От Вас потребуется дважды ввести будущий пароль для GRUB или GRUB2. Результатом будет хэш – это длинная строка, которая начинается с grub.pbkdf2. Пример:
Скопируйте всю это длинную цепочку букв и цифр в блокнот.
2. Изменить настройки
Теперь необходимо будет назначить супер-пользователя для GRUB. Делаем это через файл /etc/grub.d/00_header. Но сначала в любом редакторе Чтобы было удобнее, сначала в любом редакторе делаем вот такую конструкцию:
Тут вместо user_name во второй и третьей строчках надо будет придумать и указать имя супер-пользователя GRUB, а также замените хэш пароль на свой.
Теперь открываем файл загрузчика вот такой командой:
Его надо прокрутить до конца и с новой строки вставить подготовленную выше конструкцию. Вот так вот:
Сохраняем изменения в файле.
3. Обновить конфигурацию
Чтобы изменения в настройке загрузчика вступили в силу, нужно обязательно обновить его конфигурацию вот такой командой:
Результат выполнения будет примерно такой:
4. Проверить работу
Результатом будет запрос пароля загрузчика:
Без ввода пароля система дальше не загрузится. Profit!
Не удается установить пароль для загрузчика grub.
Делаю по инструкции https://wiki.astralinux.ru/pages/viewpage.action?pageId=18874503
Система гостевая на virtualbox в UEFI
Выполняю команду grub-mkpasswd-pbkdf2, создаю файл /etc/grub.d/07_password, помещаю то что описано в инструкции вместе со скопированным хэшем, устанавливаю права 700, ввожу команду sudo update-grub, перезагружаю машину. Пароль от grub2 не запрашивается. То есть ничего нового при загрузке системы не происходит.Montfer
New member
Андрей Д
New member
cat set superusers="admin"
password_pbkdf2 admin grub.pbkdf2.sha512.10000.0F243BFA8E7738883C7FD69574527DBE91600AFA255B80F97439726FCD887EA7DC
2577056E6DFF1987B17B7314D3F61E8BD0D3B86CE1B0ED32532EEE015ADBBE.79896BCB49F438191CE9112FA802E4A1DA6A0D1226DA44FE05
01BC365155F3225172D60076ACBD395F90BF6F56EB147014565DBAE66CDF40C7B142A518B3364A
EOFMontfer
New member
не знаю. включил efi на виртуалке, установил чистый 2.12.45, копировал и содержимое твоего файла, и свой вписывал - запрос логина и пароля всегда появлялся.
или версия виртуалки у меня не та (до сих пор сижу на 6.1.28), или версия астры не 2.12.45, или стоит не скопировать конфиг, а вручную вписать, чтоб проблем с какими нибудь кодировками не произошлиIskatel_znaniy
New member
не знаю. включил efi на виртуалке, установил чистый 2.12.45, копировал и содержимое твоего файла, и свой вписывал - запрос логина и пароля всегда появлялся.
или версия виртуалки у меня не та (до сих пор сижу на 6.1.28), или версия астры не 2.12.45, или стоит не скопировать конфиг, а вручную вписать, чтоб проблем с какими нибудь кодировками не произошлиУ меня тоже не получается. Версия виртуалки 6.1.36. Система 2.12.45. Сделал по той же инструкции, вписал свой конфиг по ней, то есть свой хэш.
Получение доступа к машине
Дождаться появления меню загрузчика и нажать клавишу "e":
Изменяемая часть подчеркнута на снимке экрана):
В этом варианте перезагрузка машины после внесения изменений выполняется командой:
В случае, если пароль загрузчика неизвестен
- Выполнить загрузку с установочного диска Astra Linux и выбрать "Режим восстановления";
В этом варианте перезагрузка машины после внесения изменений выполняется двумя командами:
Получение имени администратора
Создаваемому при установке ОС администратору присваивается числовой идентификатор 1000. В случае, если имя администратора не известно, его можно получить командой:
Сброс счетчика неудачных попыток
После получения доступа к системе для сброса счетчика неудачных попыток выполнить команду:
- при работе с локальными пользователями:
Пользователя можно указать по отдельному имени, числовому идентификатору или в виде диапазона числовых идентификаторов. Диапазон задается в виде максимального и минимального значений .
После сброса счетчика перезагрузить машину.
Смена пароля
После получения доступа к системе сменить пароль пользователя, для чего в ыполнить команду:
После смены пароля перезагрузить ОС.
Сброс блокировки учетной записи администратора
Если локальный администратор самостоятельно заблокировал свою учетную запись, то для ее разблокирования:
- Загрузить компьютер в режиме восстановления;
- Выполнить команду: