Hemsida » hur » Hur man skyddar Ubuntu Boot Loader

    Hur man skyddar Ubuntu Boot Loader

    Ubuntus Grub boot loader låter vem som helst redigera uppstartsposter eller använda sitt kommandoradsläge som standard. Secure Grub med ett lösenord och ingen kan redigera dem - du kan till och med kräva ett lösenord innan du startar operativsystem.

    Grub 2s konfigurationsalternativ är uppdelade på flera filer istället för den enkla menyn.lst-filen Grub 1 som används, så att ett lösenord har blivit mer komplicerat. Dessa steg gäller Grub 1.99, som används i Ubuntu 11.10. Processen kan vara annorlunda i framtida versioner.

    Generera ett lösenordshash

    Först kommer vi att skjuta upp en terminal från Ubuntus programmeny.

    Nu genererar vi ett obfuscated lösenord för Grubs konfigurationsfiler. Bara Skriv grub-mkpasswd-pbkdf2 och tryck på Enter. Det kommer att be dig om ett lösenord och ge dig en lång sträng. Välj strängen med musen, högerklicka på den och välj Kopiera för att kopiera den till klippbordet för senare.

    Detta steg är tekniskt frivilligt - vi kan skriva in vårt lösenord i vanlig text i Grubs konfigurationsfiler, men det här kommandot försvårar det och ger ytterligare säkerhet.

    Ställa in ett lösenord

    Typ sudo nano /etc/grub.d/40_custom för att öppna 40_custom-filen i Nano-textredigeraren. Det här är platsen där du ska lägga egna anpassade inställningar. De kan skrivas över av nyare versioner av Grub om du lägger till dem någon annanstans.

    Bläddra ner till botten av filen och lägg till en lösenordsinmatning i följande format:

    set superusers = "name"
    password_pbkdf2 namn [lång sträng från tidigare]

    Här har vi lagt till en superanvändare som heter "bob" med vårt lösenord från tidigare. Vi har också lagt till en användare som heter jim med ett osäkert lösenord i vanlig text.

    Observera att Bob är en superanvändare medan Jim inte är. Vad är skillnaden? Superusers kan redigera startposter och komma åt kommandoraden Grub, medan normala användare inte kan. Du kan tilldela specifika uppstartsposter till vanliga användare för att ge dem tillgång.

    Spara filen genom att trycka på Ctrl-O och Enter, och tryck sedan på Ctrl-X för att avsluta. Dina ändringar kommer inte att träda i kraft förrän du kör sudo update-grub kommando; se avsnittet Aktivera dina ändringar för mer information.

    Lösenordsskydda startadresser

    Att skapa en superanvändare får oss mest av vägen. Med en superanvändare konfigurerad hindrar Grub automatiskt personer från att redigera startposter eller åtkomst till kommandoraden Grub utan ett lösenord.

    Vill du lösenordet skydda en viss boot-post så att ingen kan starta den utan att ge ett lösenord? Det kan vi också göra, även om det är lite mer komplicerat just nu.

    Först måste vi bestämma filen som innehåller den startpost som du vill ändra. Typ sudo nano /etc/grub.d/ och tryck på Tab för att visa en lista över tillgängliga filer.

    Låt oss säga att vi vill lösenordsskydda våra Linux-system. Linux boot-poster genereras av filen 10_linux, så vi använder sudo nano /etc/grub.d/10_linux kommando att öppna den. Var försiktig när du redigerar den här filen! Om du glömmer ditt lösenord eller anger ett felaktigt kan du inte starta upp i Linux om du inte startar från en live-CD och ändrar din Grub-inställning först.

    Det här är en lång fil med många saker på gång, så vi slår Ctrl-W för att söka efter den linje vi vill ha. Typ menuentry vid sökfrågan och tryck på Enter. Du ser en rad som börjar med printf.

    Ändra bara

    printf "menuentry" $ title '

    bit i början av raden till:

    printf "menuentry -users namn" $ title "

    Här har vi givit Jim tillgång till våra Linux-startposter. Bob har också tillgång, eftersom han är en superanvändare. Om vi ​​angav "bob" istället för "Jim" skulle Jim inte ha någon åtkomst alls.

    Tryck Ctrl-O och Enter, sedan Ctrl-X för att spara och stänga filen efter att ha ändrats.

    Detta borde bli lättare över tid då Grubs utvecklare lägger till fler alternativ till kommandot grub-mkconfig.

    Aktivera dina ändringar

    Dina ändringar kommer inte att träda i kraft förrän du kör sudo update-grub kommando. Detta kommando genererar en ny Grub-konfigurationsfil.

    Om du har lösenordsskyddad standard boot-post kommer du att se en inloggningsprompning när du startar datorn.

    Om Grub är inställd för att visa en startmeny kan du inte redigera en startpost eller använda kommandoradsläge utan att ange ett superanvändares lösenord.