Cara melindungi kata sandi menu Grub

9

Cara melindungi kata sandi menu Grub dari ro recovery nomodesetperintah. Saya ingin itu di mana tidak ada orang kecuali Anda memiliki kata sandi untuk membuat perubahan pada menu untuk mencoba masuk ke recovery.grub

Randol Albert
sumber
Tidak begitu jelas. Apakah Anda ingin kata sandi melindungi kemampuan untuk boot atau kemampuan untuk mengedit konfigurasi grub / sampai ke konsol grub?
Seth
Lebih disukai keduanya dan bisakah tolong tunjukkan saya perintah secara rinci, saya agak baru di linux
Randol Albert
Ada opsi untuk menonaktifkan mode pemulihan di grub, serta membuat grub tidak muncul (mis. Boot langsung ke OS tertentu yang Anda pilih, atau jika Anda hanya memiliki satu OS, boot ke itu tanpa penundaan). Apakah Anda tertarik dengan hal itu? Beri tahu saya, saya akan memposting ini sebagai jawaban jika Anda mau
Sergiy Kolodyazhnyy

Jawaban:

13

Grub memungkinkan Anda melindungi kata sandi konfigurasi dan konsolnya, serta entri sistem operasi individual. Harap dicatat bahwa ini tidak akan menghentikan individu yang berdedikasi, terutama yang tahu apa yang mereka lakukan. Tapi saya anggap Anda tahu itu. Mari kita mulai.

menghasilkan hash kata sandi ..

Anda dapat menyimpan kata sandi grub Anda dalam teks biasa tetapi itu sama sekali tidak aman dan siapa pun yang memiliki akses ke akun Anda dapat dengan cepat mengetahuinya. Untuk mencegah hal ini, kita hash kata sandi menggunakan grub-mkpasswd-pbkdf2perintah, seperti:

user@host~ % grub-mkpasswd-pbkdf2
Enter password: 
Reenter password: 
PBKDF2 hash of your password is grub.pbkdf2.sha512.10000.63553D205CF6E...  

Saat Anda mengetikkan kata sandi, tidak ada karakter yang akan ditampilkan di terminal, ini untuk mencegah orang melihat dari atas bahu Anda, dll. Sekarang, salin keseluruhan hash Anda dengan Ctrl+ Shift+ C.

melindungi konfigurasi, konsol ..

Lari:

sudo nano /etc/grub.d/40_custom  

Ini akan membuat file konfigurasi baru bernama 40_customdirektori konfigurasi grub. Sekarang tambahkan baris:

set superusers="username"  
password_pbkdf2 username hash  

Di mana usernamenama pengguna pilihan Anda dan hashhash yang kami hasilkan di perintah terakhir. Tekan Ctrl+ Olalu Ctrl+ Xuntuk menyimpan dan keluar. Lari:

sudo update-grub  

Untuk menyelesaikan perubahan. Sekarang, ketika seseorang mencoba mengedit konfigurasi grub atau mengakses konsol grub, ia akan meminta mereka untuk nama pengguna dan kata sandi.

kata sandi melindungi entri sistem operasi ..

Saat ini satu-satunya metode untuk mencapai ini yang dapat saya temukan adalah mengedit /boot/grub/grub.cfgsecara manual. Ini hanya sementara namun karena setiap pembaruan kernel baru akan menulis ulang file ini dan kata sandi Anda akan hilang (perhatikan bahwa ini tidak mempengaruhi konsol / mengedit kata sandi yang kami atur di atas). Semua metode lain yang saya temukan sejauh ini sangat ketinggalan zaman dan saya tidak bisa lagi membuatnya bekerja.

Saya telah bertanya kepada milis grub apakah ada metode yang lebih baru dan akan mengedit jawaban ini segera setelah saya mengetahuinya.

Seth
sumber
3
Grub 2.0+ meminta kata sandi untuk boot setelah manipulasi ini. Itu karena semua entri sekarang "dibatasi" secara default. Untuk mem-boot tanpa kata sandi, Anda perlu menambahkan "--unlimited" ke item boot yang diperlukan .
Raz
6

Manual GRUB memiliki bagian tentang keamanan . Ini memberi tahu Anda cara melindungi kata sandi menu boot GRUB Anda untuk membatasi akses ke operasi atau varian boot tertentu. Ini berisi contoh kecil.

NZD
sumber
1
jika contohnya kecil, Anda dapat menambahkan jawaban Anda
rpax
2
@ rpax: Jawaban Seth sudah berisi contoh. Dia menambahkan jawabannya setelah saya memposting jawaban saya.
NZD