- HackWare.ru
- Этичный хакинг и тестирование на проникновение, информационная безопасность
- Как защитить загрузчик GRUB паролем
- Настройка пароля на загрузку системы и на редактирование опций загрузки
- Как включить редактирование опций GRUB по паролю, но загрузиться может любой пользователь
- Связанные статьи:
- Забыл пароль Linux
- Вот задача? Пароль Linux все уже забыли и наверное даже и не знали
- Меняем пароль Linux
- Для Debian — инструкция по сбросу пароля описана тут
- Рассмотрим вариант с Ubuntu
- Рассмотрим вариант с Linux Mint
- Как сбросить пароль в Linux
- Когда можно использовать GRUB
- Когда нет возможности использовать GRUB
HackWare.ru
Этичный хакинг и тестирование на проникновение, информационная безопасность
Как защитить загрузчик GRUB паролем
В статье «Как в Linux сбросить забытый пароль входа» показано, что пароль для входа в Linux можно сбросить очень быстро и просто. Причём это может быть пароль root или любого пользователя.
Суть описанного в той статье метода заключается в редактировании опций загрузчика GRUB для загрузки в однопользовательский режим. Возможно кого-то такой простой способ обхода пароля root заставил задуматься: можно ли защитить Linux от смены пароля при загрузке? Точнее говоря, можно ли запретит менять опции загрузки в GRUB?
С одной стороны, — да, можно установить пароль на редактирование опций загрузчика GRUB, в данной статье будет показано как это настроить. Но, с другой стороны, нужно помнить — настройка делается в текстовых конфигурационных файлах GRUB и при физическом доступе к компьютеру с возможностью загрузки с LIVE дистрибутива можно обойти и эту защиту по смене пароля. При физическом доступе всегда остаётся вариант вынуть жёсткий диск и просмотреть его содержимое на другой системе. То есть настоящую защиту данных обеспечивает только их шифрование или шифрование всего диска, защита в виде пароля на загрузку не является надёжной!
Рекомендуется: смотрите также статьи
Тем не менее описанный метод, как минимум, может задержать или даже поставить в тупик неавторизованное для смены пароля лицо. А при принятии дополнительных мер — запрет на использование внешних устройств или контроль физического доступа, описанный способ может защитить от входа в однопользовательский режим.
Защиту паролем GRUB можно организовать двумя способами:
- Необходимо ввести пароль как на загрузку системы, так и на редактирование опций загрузки
- Загрузиться может любой пользователь без пароля, а для редактирования опций загрузки необходимо ввести пароль.
Рассмотрим оба этих варианты.
Примечание: если вы используете пароль загрузки для GRUB2, то экран заставки во время загрузки не будет отображаться.
Настройка пароля на загрузку системы и на редактирование опций загрузки
От root выполните следующие команды для установки пароля загрузки:
С помощью утилиты grub-mkpasswd-pbkdf2 сгенерируйте хеш пароля:
Введите и подтвердите пароль:
Введите пароль: Повторно введите пароль:
Будет показана примерно такая строка:
Хэш PBKDF2 вашего пароля: grub.pbkdf2.sha512.10000.479775BC85F7B0D174D53F85338955DA8B79E35A641C7B814387D2E8CB3353DBB0925E9E2AB7D5986C2B995AD6E96A793D92F17CC1438AB226249AEDC629FDD0.867369FB465ED73F5CB495A375FCF294C1F39B8E0D481B33F4F5C4D245E140CD11D9135CBAE646DD5CC168C037EF4D5F6B935A2A32D1103F9A7ADB81AA9101D4
Из выведенных данных нужно взять всю строку «grub.pbkdf2.sha512.10000………….».
Теперь откройте файл /etc/grub.d/40_custom
sudo gedit /etc/grub.d/40_custom
set superusers="root" password_pbkdf2 root grub.pbkdf2.sha512.10000.479775BC85F7B0D174D5.
Поскольку файл /etc/grub.d/40_custom содержит хеш пароля, то рекомендуется запретить его чтение и изменения всеми, кроме пользователя root:
sudo chmod 711 /etc/grub.d/40_custom
Теперь запускаем создание нового конфигурационного файла загрузчика:
sudo grub-mkconfig -o /boot/grub/grub.cfg
После перезагрузки при попытке выбрать любой пункт меню вам будет предложено ввести имя пользователя и пароль. Введите root и пароль, который вы ввели в команде grub-mkpasswd-pbkdf2. Если учётные данные верны, система продолжит загрузку.
На самом деле, имя пользователя на этом этапе неважно — оно используется только как учётные данные для входа в загрузчик. Например, имя пользователя на моём компьютере mial, даже при вводе имени root и установленного пароля, я всё равно загружусь как пользователь mial. По этой причине в файл /etc/grub.d/40_custom можно указать любое имя пользователя, главное, не забудьте его.
Как включить редактирование опций GRUB по паролю, но загрузиться может любой пользователь
С помощью утилиты grub-mkpasswd-pbkdf2 сгенерируйте хеш пароля:
Введите и подтвердите пароль:
Введите пароль: Повторно введите пароль:
Будет показана примерно такая строка:
Хэш PBKDF2 вашего пароля: grub.pbkdf2.sha512.10000.479775BC85F7B0D174D53F85338955DA8B79E35A641C7B814387D2E8CB3353DBB0925E9E2AB7D5986C2B995AD6E96A793D92F17CC1438AB226249AEDC629FDD0.867369FB465ED73F5CB495A375FCF294C1F39B8E0D481B33F4F5C4D245E140CD11D9135CBAE646DD5CC168C037EF4D5F6B935A2A32D1103F9A7ADB81AA9101D4
Из выведенных данных нужно взять всю строку «grub.pbkdf2.sha512.10000………….».
Теперь откройте файл /etc/grub.d/40_custom
sudo gedit /etc/grub.d/40_custom
set superusers="root" password_pbkdf2 root grub.pbkdf2.sha512.10000.479775BC85F7B0D174D5.
Поскольку файл /etc/grub.d/40_custom содержит хеш пароля, то рекомендуется запретить его чтение и изменения всеми, кроме пользователя root:
sudo chmod 711 /etc/grub.d/40_custom
Теперь откройте файл /etc/grub.d/10_linux и найдите пункт или пункты меню, которые вы хотите сделать доступными для загрузки без пароля:
sudo gedit /etc/grub.d/10_linux
К примеру, в моём случае это пункт:
CLASS="--class gnu-linux --class gnu --class os"
Добавьте к нему опцию —unrestricted, чтобы получилось так:
CLASS="--class gnu-linux --class gnu --class os --unrestricted"
Сохраните и закройте этот файл.
Теперь запустите создание нового конфигурационного файла загрузчика:
sudo grub-mkconfig -o /boot/grub/grub.cfg
В результате загрузка системы будет выполняться как и раньше — пароль в загрузчике вводить не нужно. Но при попытке отредактировать опции загрузчика, например, если ввести «e», то будет предложено ввести пароль. Без ввода пароля не будет дан доступ к опциям загрузки.
Если нажать Enter без ввода пароля, то продолжится обычная загрузка, опции GRUB изменены не будут.
Связанные статьи:
Забыл пароль Linux
Сегодня поговорим о том как восстановить или поставить новый пароль linux не зная настоящего пароля. Проще говоря «взломаем» пароль пользователя и поставим свой.
Эта статья не носит руководства к противоправному действию и написана только как инструкция для использования в установленном законом порядке — имейте это ввиду, вся ответственность лежит на вас самих.
Недавно случилось, что необходимо стало установить программу на машину где стоит ubuntu, но как многие знают в системе linux при совершении того или иного действия необходимо знать пароль пользователя.
Если запуск и работа Linux могут быть настроены без ввода пароля, то внесении изменений попросит пароль.
Вот задача? Пароль Linux все уже забыли и наверное даже и не знали
Система была установлена и настроена. Пароль никому не нужен был, ведь комп включался и на нем работали в стандартных приложениях, в основном удаленно. Если проще, то изменения не требовались, но спустя несколько лет нужно стало сменить браузер. Тут и пришлось обратится ко всемирной паутине и сильно задуматься.
Оказалось, что все гораздо проще чем в windows, не нужно ни каких сторонних программ или дисков, совсем просто.
Меняем пароль Linux
Для Debian — инструкция по сбросу пароля описана тут
Рассмотрим вариант с Ubuntu
Для начала определимся с именем пользователя, его нам надо знать обязательно, ведь для него мы и меняем пароль. Это по сути все, что нам необходимо.
Например в запущенном Ubuntu имя пользователя можно увидеть в правом верхнем углу.
Также узнать логин пользователей данной системы можно просто введя в терминале команду из одной буквы «W»
Возьмем за ситуацию когда большей информацией вы не располагаете.
Теперь нам необходимо выключить наш ПК или отправить его в перезагрузку и при включении в меню запуска вначале выбрать дополнительные параметры Ubuntu, затем в следующем меню выбрать режим с запуска с параметрами (recovery mode).
После некоторого времени, зависит от вашего ПК, откроется меню в котором выбираем строку
root Перейти в командный интерпретатор суперпользователя
посте выбора, нажимаем «Enter».
После всех загрузок перед нами будет открыт терминал, в котором мы можем работать от суперпользователя, о чем будет свидетельствовать символ «#» перед нашим курсором.
Теперь нам необходимо подключить нашу файловую систему операционной системы для редактирования, сделаем это командой:
Ну и теперь осталось просто сменить пароль linux, нужного нам пользователя, делаем это командой «passwd», выглядит это так
После ввода этой команды вводим новый пароль, нажимаем «Enter», затем нас спросят подтвердить ввод пароля, делаем это еще раз.
Как бы все пароль установлен, перезагружаем систему командой reboot. Загрузившись в обычном режиме проверяем.
Если хотите сбросить пароль root Ubuntu, то соответственно имя пользователя указываем root.
Рассмотрим вариант с Linux Mint
Так как linux Mint основан на Ubuntu, то и в нем этот способ будет скорее всего работать.
Включаем компьютер или ноутбук, и при старте в меню режимов запуска, обычно оно появляется при старте системы на 10 секунд и выглядит так
Если вы не смогли увидеть это меню, то перезагрузите компьютер и во время загрузки, после старта Bios удерживайте клавишу Shift, появится это окно.
Выбираем пункт запуска вашей системы, как правило это первый пункт и он выбран автоматически (выбираем стрелочками без нажатия клавиши Enter). Когда выбрали нужный пункт нажимаем кнопку E
Откроется меню файл с параметрами запуска системы, пролистайте стрелочками вниз до строки такого содержания
linux /boot/vmlinuz- . ro quiet splash $vt handoff
ro quiet splash $vt handoff
теперь нажимаем F10 или Ctrl +x
В результате система загрузится в терминальном режиме от пользователя root
Теперь смотрим пользователей на нашем компьютере, если не знаем, командой
Ну и теперь осталось просто сменить пароль linux, нужного нам пользователя, делаем это командой «passwd», выглядит это так
После ввода этой команды вводим новый пароль, нажимаем «Enter», затем нас спросят подтвердить ввод пароля, делаем это еще раз.
При введении пароля на экране ничего происходить не будет отображаемые символы вы видеть не будете — просто вводите их
Теперь перезагружаем ПК с помощью сочетания клавиш Ctrl+Alt+Del
Используем уже новый установленный вами пароль.
Как сбросить пароль в Linux
Давайте рассмотрим несколько способов сбрасывания системного пароля в Linux. Вы наверное знаете, что у пользователя root есть права на изменение пароля любого пользователя в системе. А что если вы забыли пароль от рута? Вот об этом и пойдет речь в статье.
При восстановления пароля (рута или любого другого пользователя) встречаются две различные ситуации, требующие разного подхода.
Когда можно использовать GRUB
- В окне загрузчика GRUB выделите строку с нужной версией линукса, для которого вам нужно сбросить пароль
- Нажмите ‘e’ для редактирования. Выберите строку ядра. Добавьте ‘single’ в конец строки. Нажмите ‘b’ для загрузки. Если система продолжает запрашивать пароль рута, добавьте в конец строки init=/bin/bash Снова нажмите ‘b’ для загрузки
- После этого вы либо увидите приглашение для рута, либо восстанавливающее меню, где нужно выбрать строку с рутом. Используйте passwd для того чтобы изменить пароль у любого пользователя
Когда нет возможности использовать GRUB
- Загрузитесь с live CD
- Выберите «Попробовать Ubuntu без изменений на вашем компьютере» (Try Ubuntu without any changes to your computer)