Zaváděcí zavaděč Grub v Ubuntu umožňuje komukoli upravovat spouštěcí položky nebo ve výchozím nastavení používat režim příkazového řádku. Zabezpečte Grub pomocí hesla a nikdo je nebude moci upravovat - před spuštěním operačních systémů můžete dokonce vyžadovat heslo.
Možnosti konfigurace Grub 2 jsou rozděleny do více souborů namísto jediné nabídky. Byl použit první soubor Grub 1, takže nastavení hesla se stalo komplikovanějším. Tyto kroky platí pro Grub 1.99, používaný v Ubuntu 11.10. Proces se může v budoucích verzích lišit.
Generování hash hesla
Nejprve spustíme terminál z nabídky aplikací Ubuntu.
Nyní vygenerujeme zmatené heslo pro Grubovy konfigurační soubory. Stačí napsat grub-mkpasswd-pbkdf2 a stiskněte klávesu Enter. Vyzve vás k zadání hesla a dá vám dlouhý řetězec. Vyberte řetězec myší, klepněte na něj pravým tlačítkem myši a výběrem možnosti Kopírovat jej zkopírujte do schránky na později.
Tento krok je technicky volitelný - můžeme zadat naše heslo jako prostý text v konfiguračních souborech společnosti Grub, ale tento příkaz jej zahalí a poskytne další zabezpečení.
Nastavení hesla
Typ Sudono / Etc / gru b. d / 40_ku sa m otevřete soubor 40_custom v textovém editoru Nano. Na tomto místě byste měli nastavit svá vlastní nastavení. Pokud je přidáte jinde, mohou být přepsány novějšími verzemi Grub.
Přejděte dolů do dolní části souboru a přidejte heslo v následujícím formátu:
set superusers = ”name”
heslo_pbkdf2 jméno [long string from earlier]
Zde jsme přidali superuživatele s názvem „bob“ s naším heslem z dřívějších dob. Přidali jsme také uživatele jménem jim s nezabezpečeným heslem v prostém textu.
Všimněte si, že Bob je superuživatel, zatímco Jim ne. Jaký je v tom rozdíl? Superuživatelé mohou upravovat spouštěcí položky a přistupovat k příkazovému řádku Grub, zatímco běžní uživatelé nemohou. Normálním uživatelům můžete přiřadit konkrétní spouštěcí položky, které jim umožní přístup.
Uložte soubor stisknutím kláves Ctrl-O a Enter a stisknutím klávesy Ctrl-X nabídku ukončete. Vaše změny se projeví až po spuštění sudo update-grub příkaz; další informace najdete v části Aktivace změn.
Spouštěcí položky chráněné heslem
Vytvoření superuživatele nás dostane většinu cesty. S nakonfigurovaným superuživatelem Grub automaticky brání lidem v úpravách spouštěcích položek nebo v přístupu k příkazovému řádku Grub bez hesla.
Chcete chránit konkrétní spouštěcí položku heslem, aby ji nikdo nemohl zavést bez zadání hesla? Můžeme to udělat také, i když je to v tuto chvíli trochu komplikovanější.
Nejprve budeme muset určit soubor obsahující spouštěcí položku, kterou chcete upravit. Typ Sudono / Etc / gru b. d / a stisknutím klávesy Tab zobrazíte seznam dostupných souborů.
Řekněme, že chceme chránit naše systémy Linux pomocí hesla. Spouštěcí položky systému Linux jsou generovány souborem 10_linux, takže použijeme Sudono / Etc / gru b. d / 10_inu x příkaz k jeho otevření. Při úpravách tohoto souboru buďte opatrní! Pokud zapomenete heslo nebo zadáte nesprávné heslo, nebudete moci zavést systém Linux, pokud nezavedete ze živého disku CD a nejdříve nezměníte nastavení Grub.
Toto je dlouhý soubor se spoustou věcí, takže stiskneme Ctrl-W a vyhledáme řádek, který chceme. Typ menuentry na výzvu k vyhledávání a stiskněte klávesu Enter. Uvidíte řádek začínající printf.
Stačí změnit
printf „menuentry‘ 900 0003 $ ’
bit na začátku řádku na:
printf „menuentry - jméno uživatele„ {title} $ “
Zde jsme Jimovi poskytli přístup k našim spouštěcím položkám Linuxu. Bob má také přístup, protože je superuživatel. Pokud bychom místo „jim“ zadali „bob“, Jim by neměl vůbec žádný přístup.
Stiskněte Ctrl-O a Enter, poté Ctrl-X pro uložení a zavření souboru po jeho úpravě.
Postupně by to mělo být jednodušší, protože vývojáři Grub přidají do příkazu grub-mkconfig další možnosti.
Aktivace vašich změn
Vaše změny se projeví až po spuštění sudo update-grub příkaz. Tento příkaz generuje nový konfigurační soubor Grub.
Pokud jste výchozí spouštěcí položku chránili heslem, při spuštění počítače se zobrazí výzva k přihlášení.
Pokud je Grub nastaven tak, aby zobrazoval spouštěcí nabídku, nebudete moci upravovat spouštěcí položku ani používat režim příkazového řádku bez zadání hesla superuživatele.
