- Как поставить пароль на Grub
- Как поставить пароль на GRUB
- 1. Сгенерировать хэш пароля
- 3. Обновить конфигурацию
- 4. Проверить работу
- Выводы
- HackWare.ru
- Этичный хакинг и тестирование на проникновение, информационная безопасность
- Как защитить загрузчик GRUB паролем
- Настройка пароля на загрузку системы и на редактирование опций загрузки
- Как включить редактирование опций GRUB по паролю, но загрузиться может любой пользователь
- Связанные статьи:
- Установка и настройка пароля на менеджер ОС GRUB
- Зачем нужен пароль на GRUB ?
- Способы установки пароля на менеджер загрузки ОС GRUB
- Пароль на редактирование конфигурации GRUB
Как поставить пароль на Grub
Для защиты обычного компьютера или сервера с установленным на нем дистрибутивом Linux имеет смысл поставить пароль на доступ к загрузчику GRUB. Делается это путем создания отдельного пользователя для него.
В статье мы пошагово расскажем, как поставить пароль на GRUB. Заодно осветим сопутствующие нюансы процедуры и возможные проблемы при ее выполнении.
Как поставить пароль на GRUB
Всю задачу можно разделить на три больших шага. Сначала идет генерация хэша пароля, следом нужно задать его путем изменения настроек, а в конце – обновить конфигурацию GRUB. Заодно мы расскажем, как включить загрузку системы без пароля, и проверим, все ли работает правильно.
1. Сгенерировать хэш пароля
За данное действие отвечает утилита grub-mkpasswd-pbkdf2. В случае с дистрибутивом Ubuntu она по умолчанию установлена в систему. Для генерации хэша пароля достаточно выполнить команду в терминале:
А затем два раза ввести будущий пароль для GRUB. Результат выглядит так:
При выполнении команды может возникнуть ошибка:
Теперь нужно назначить супер-пользователя для GRUB. Это удобно делать через файл /etc/grub.d/00_header, отредактировав его содержимое. Удобнее сначала открыть текстовый документ, куда все было сохранено, и вставить команду следующего вида:
cat set superusers=»user_name»
password_pbkdf2 user_name grub.pbkdf2.sha512.10000.680B7A2E02752A0A5957C6CF21F3A34EDC63CE4488298FE1CE7F27F50FE9E4BA043E84E1FE4EC183A75A52672F6D38383244DEF7784A3ACA30E2B6326ECCB557.53AA79A88B945E9120DBD40E8E6E0E5131982B8D8E0EF0CC93240D80D792074E5575ABB66B822EAC37367311CE0088EE408FB1AC74FDF563CBB9D6B8F2F6C146
EOF
Вместо user_name во второй и третьей строке укажите предпочтительное имя супер-пользователя GRUB, а также замените хэш пароля (начиная с grub.pbkdf2) на свой. Полученный текстовый документ просто сверните, но не закрывайте.
Теперь перейдем к редактированию файла 00_header. В терминале выполните:
sudo nano /etc/grub.d/00_header
Затем пролистайте его содержимое до самого конца. Это очень удобно делать с зажатой клавишей Page Down на клавиатуре. А потом на новой строке вставьте ранее подготовленную команду из 4 строк, которая сохранена в текстовом документе.
Для сохранения изменений нажмите комбинацию клавиш Ctrl+S, а затем Ctrl+X для выхода из режима редактирования файла 00_header.
3. Обновить конфигурацию
Следующий шаг – обновление конфигурации GRUB для применения ранее внесенных изменений. За это действие отвечает команда в терминале:
4. Проверить работу
Чтобы проверить работу пароля, нужно перезагрузить компьютер, например, командой:
Как только появится интерфейс GRUB, у вас запросят сначала имя супер-пользователя, а затем и пароль.
Описанный способ имеет один важный недостаток – пароль будет требоваться каждый раз при входе в GRUB. Даже для простой загрузки системы. Но конфигурацию можно настроить таким образом, чтобы пароль был нужен только для редактирования каких-либо параметров загрузчика. А вход в меню будет неограниченным.
Для этого понадобится отредактировать файл /etc/grub.d/10_linux:
sudo nano /etc/grub.d/10_linux
В этом файле найдите вот такую сточку и добавьте в неё опцию —unrestricted:
CLASS=»—class gnu-linux —class gnu —class os»
CLASS=»—class gnu-linux —class gnu —class os —unrestricted»
Теперь сохраните внесенные изменения горячими клавишами Ctrl + S . Остается только обновить конфигурацию GRUB в терминале:
В результате при включении или перезагрузке ПК пароль вводить не придется. Но для доступа к дополнительным параметрам GRUB он потребуется.
Выводы
Установка защиты в виде пароля для GRUB во многих ситуациях будет очень полезной. Ведь злоумышленники, добравшись до интерфейса загрузчика, могут серьезно нарушить работу компьютера с Linux. В данной статье мы в пошаговом формате описали всю процедуру настройки.
Это поможет сделать вашу систему более безопасной, ведь обычный пароль суперпользователя очень легко сбросить. А вы ставите пароль на Grub? Напишите в комментариях!
Обнаружили ошибку в тексте? Сообщите мне об этом. Выделите текст с ошибкой и нажмите Ctrl+Enter.
HackWare.ru
Этичный хакинг и тестирование на проникновение, информационная безопасность
Как защитить загрузчик GRUB паролем
В статье «Как в Linux сбросить забытый пароль входа» показано, что пароль для входа в Linux можно сбросить очень быстро и просто. Причём это может быть пароль root или любого пользователя.
Суть описанного в той статье метода заключается в редактировании опций загрузчика GRUB для загрузки в однопользовательский режим. Возможно кого-то такой простой способ обхода пароля root заставил задуматься: можно ли защитить Linux от смены пароля при загрузке? Точнее говоря, можно ли запретит менять опции загрузки в GRUB?
С одной стороны, — да, можно установить пароль на редактирование опций загрузчика GRUB, в данной статье будет показано как это настроить. Но, с другой стороны, нужно помнить — настройка делается в текстовых конфигурационных файлах GRUB и при физическом доступе к компьютеру с возможностью загрузки с LIVE дистрибутива можно обойти и эту защиту по смене пароля. При физическом доступе всегда остаётся вариант вынуть жёсткий диск и просмотреть его содержимое на другой системе. То есть настоящую защиту данных обеспечивает только их шифрование или шифрование всего диска, защита в виде пароля на загрузку не является надёжной!
Рекомендуется: смотрите также статьи
Тем не менее описанный метод, как минимум, может задержать или даже поставить в тупик неавторизованное для смены пароля лицо. А при принятии дополнительных мер — запрет на использование внешних устройств или контроль физического доступа, описанный способ может защитить от входа в однопользовательский режим.
Защиту паролем GRUB можно организовать двумя способами:
- Необходимо ввести пароль как на загрузку системы, так и на редактирование опций загрузки
- Загрузиться может любой пользователь без пароля, а для редактирования опций загрузки необходимо ввести пароль.
Рассмотрим оба этих варианты.
Примечание: если вы используете пароль загрузки для GRUB2, то экран заставки во время загрузки не будет отображаться.
Настройка пароля на загрузку системы и на редактирование опций загрузки
От root выполните следующие команды для установки пароля загрузки:
С помощью утилиты grub-mkpasswd-pbkdf2 сгенерируйте хеш пароля:
Введите и подтвердите пароль:
Введите пароль: Повторно введите пароль:
Будет показана примерно такая строка:
Хэш PBKDF2 вашего пароля: grub.pbkdf2.sha512.10000.479775BC85F7B0D174D53F85338955DA8B79E35A641C7B814387D2E8CB3353DBB0925E9E2AB7D5986C2B995AD6E96A793D92F17CC1438AB226249AEDC629FDD0.867369FB465ED73F5CB495A375FCF294C1F39B8E0D481B33F4F5C4D245E140CD11D9135CBAE646DD5CC168C037EF4D5F6B935A2A32D1103F9A7ADB81AA9101D4
Из выведенных данных нужно взять всю строку «grub.pbkdf2.sha512.10000………….».
Теперь откройте файл /etc/grub.d/40_custom
sudo gedit /etc/grub.d/40_custom
set superusers="root" password_pbkdf2 root grub.pbkdf2.sha512.10000.479775BC85F7B0D174D5.
Поскольку файл /etc/grub.d/40_custom содержит хеш пароля, то рекомендуется запретить его чтение и изменения всеми, кроме пользователя root:
sudo chmod 711 /etc/grub.d/40_custom
Теперь запускаем создание нового конфигурационного файла загрузчика:
sudo grub-mkconfig -o /boot/grub/grub.cfg
После перезагрузки при попытке выбрать любой пункт меню вам будет предложено ввести имя пользователя и пароль. Введите root и пароль, который вы ввели в команде grub-mkpasswd-pbkdf2. Если учётные данные верны, система продолжит загрузку.
На самом деле, имя пользователя на этом этапе неважно — оно используется только как учётные данные для входа в загрузчик. Например, имя пользователя на моём компьютере mial, даже при вводе имени root и установленного пароля, я всё равно загружусь как пользователь mial. По этой причине в файл /etc/grub.d/40_custom можно указать любое имя пользователя, главное, не забудьте его.
Как включить редактирование опций GRUB по паролю, но загрузиться может любой пользователь
С помощью утилиты grub-mkpasswd-pbkdf2 сгенерируйте хеш пароля:
Введите и подтвердите пароль:
Введите пароль: Повторно введите пароль:
Будет показана примерно такая строка:
Хэш PBKDF2 вашего пароля: grub.pbkdf2.sha512.10000.479775BC85F7B0D174D53F85338955DA8B79E35A641C7B814387D2E8CB3353DBB0925E9E2AB7D5986C2B995AD6E96A793D92F17CC1438AB226249AEDC629FDD0.867369FB465ED73F5CB495A375FCF294C1F39B8E0D481B33F4F5C4D245E140CD11D9135CBAE646DD5CC168C037EF4D5F6B935A2A32D1103F9A7ADB81AA9101D4
Из выведенных данных нужно взять всю строку «grub.pbkdf2.sha512.10000………….».
Теперь откройте файл /etc/grub.d/40_custom
sudo gedit /etc/grub.d/40_custom
set superusers="root" password_pbkdf2 root grub.pbkdf2.sha512.10000.479775BC85F7B0D174D5.
Поскольку файл /etc/grub.d/40_custom содержит хеш пароля, то рекомендуется запретить его чтение и изменения всеми, кроме пользователя root:
sudo chmod 711 /etc/grub.d/40_custom
Теперь откройте файл /etc/grub.d/10_linux и найдите пункт или пункты меню, которые вы хотите сделать доступными для загрузки без пароля:
sudo gedit /etc/grub.d/10_linux
К примеру, в моём случае это пункт:
CLASS="--class gnu-linux --class gnu --class os"
Добавьте к нему опцию —unrestricted, чтобы получилось так:
CLASS="--class gnu-linux --class gnu --class os --unrestricted"
Сохраните и закройте этот файл.
Теперь запустите создание нового конфигурационного файла загрузчика:
sudo grub-mkconfig -o /boot/grub/grub.cfg
В результате загрузка системы будет выполняться как и раньше — пароль в загрузчике вводить не нужно. Но при попытке отредактировать опции загрузчика, например, если ввести «e», то будет предложено ввести пароль. Без ввода пароля не будет дан доступ к опциям загрузки.
Если нажать Enter без ввода пароля, то продолжится обычная загрузка, опции GRUB изменены не будут.
Связанные статьи:
Установка и настройка пароля на менеджер ОС GRUB
В статье рассказано как установить пароль на менеджер загрузки ОС GRUB. Эти действия несомненно повысят общую безопасность Вашей системы. Помогут ограничить доступ к некоторым режимам загрузки операционной системы или ограничить доступ на загрузку системы в целом. Установка пароля дело быстрое и не займет у Вас много времени.
Зачем нужен пароль на GRUB ?
Как уже было написано выше эти действия повысят общую безопасность операционной системы. Менеджер загрузки ОС требует дополнительных настроек безопасности, так как при физическом доступе «продвинутый пользователь» может получить права суперпользователя в системе.
Многие дистрибутивы Linux после установки никак не защищают свой менеджер загрузки, а ведь изменив настройки входа можно получить полный доступ к системе, сменить все пароли и натворить еще много разных пакостей. По всем этим причинам следует самостоятельно принять меры по защите своей операционной системы на уровне GRUB .
Если Вы все еще сомневаетесь, то предлагаю прочитать статью «Восстановление пароля для root или угроза безопасности из коробки в Linux», в которой детально расписано как легко это сделать.
Способы установки пароля на менеджер загрузки ОС GRUB
Ниже приведены наиболее эффективные методы защиты менеджера загрузки GRUB . GRUB – это очень мощное средство в руках системного администратора, имеющее очень много параметров конфигурирования.
Редактировать будем конфигурационный файл /boot/grub/menu.lst. В некоторых дистрибутивах это /boot/grub/grub.conf.
Пароль в конфигурационный файл можно внести либо открытым текстом, либо его хеш-образ, полученный с помощью алгоритма MD5. Проще говоря, в GRUB можно задать пароль явным образом, то есть написать его как есть или же зашифровать его отображение. Ниже, для примера, приведен пароль сначала открытым текстом, а потом его хеш-образ:
Эти две строчки, по сути, являются одним и тем же паролем.
Для защиты меню GRUB безопаснее использовать хеш-образ пароля, так как его невозможно прочесть в конфигурационном файле GRUB .
Пароль на редактирование конфигурации GRUB
Реализация данного способа позволит защитить конфигурацию GRUB от непреднамеренного редактирования. Все пункты меню будут доступны для запуска любому человеку, но их редактирование откроется, только после ввода пароля.
- Создаем резервную копию конфигурационного файла /boot/grub/menu.lst, чтобы в случае ЧП восстановить все в первоначальное положение: