Zaváděcí zavaděč Ubuntu Grub umožňuje komukoli upravit spouštěnínebo ve výchozím nastavení používat režim příkazového řádku. Secure Grub s heslem a nikdo je nemůže upravovat - dokonce můžete vyžadovat heslo před spuštěním operačních systémů.
Možnosti konfigurace Grub 2 jsou rozděleny napříčvíce souborů namísto jediného souboru menu.lst Grub 1, takže nastavení hesla je složitější. Tyto kroky platí pro Grub 1.99, používaný v Ubuntu 11.10. Tento postup se může v budoucích verzích lišit.
Generování hesla hash
Nejprve spustíme terminál z nabídky aplikací Ubuntu.
Nyní vygenerujeme zmatené heslo pro konfigurační soubory Grubu. Stačí napsat grub-mkpasswd-pbkdf2 a stiskněte klávesu Enter. Vyzve vás k zadání hesla a poskytne vám dlouhý řetězec. Vyberte řetězec pomocí myši, klepněte na něj pravým tlačítkem a vyberte příkaz Kopírovat a zkopírujte jej do schránky na později.
Tento krok je technicky volitelný - v konfiguračních souborech společnosti Grub můžeme naše heslo zadat jako prostý text, ale tento příkaz je zatajuje a poskytuje další zabezpečení.
Nastavení hesla
Typ sudo nano /etc/grub.d/40_custom otevřete soubor 40_custom v textovém editoru Nano. Na tomto místě byste měli nastavit vlastní nastavení. Pokud je přidáte jinde, mohou být přepsány novějšími verzemi Grubu.
Přejděte dolů na konec souboru a přidejte položku hesla v následujícím formátu:
set superusers = ”name”
password_pbkdf2 name [dlouhý řetězec z předchozího]
Zde jsme přidali superuživatele s názvem „bob“ s naším heslem z dříve. Přidali jsme také uživatele jménem jim s nezabezpečeným heslem v prostém textu.
Bob je superuživatel, zatímco Jim není. Jaký je v tom rozdíl? Superuživatelé mohou upravovat spouštěcí položky a přistupovat k příkazové řádce Grub, zatímco běžní uživatelé to nemohou. Normálním uživatelům můžete přiřadit konkrétní spouštěcí položky, abyste jim měli přístup.
Uložte soubor stisknutím kláves Ctrl-O a Enter a poté stisknutím klávesy Ctrl-X ukončete program. Vaše změny se projeví až po spuštění sudo update-grub příkaz; další podrobnosti naleznete v části Aktivace změn.
Zaváděcí položky chráněné heslem
Vytvoření superuživatele nás dostane většinu cesty. S nakonfigurovaným superuživatelem Grub automaticky zabraňuje lidem upravovat spouštěcí položky nebo přistupovat k příkazovému řádku Grub bez hesla.
Chcete heslem chránit konkrétní zaváděcí položku, aby ji nikdo nemohl zavést bez zadání hesla? Můžeme to udělat také, i když je to v tuto chvíli trochu komplikovanější.
Nejprve musíme určit soubor, který obsahuje spouštěcí položku, kterou chcete upravit. Typ sudo nano /etc/grub.d/ a stisknutím klávesy Tab zobrazíte seznam dostupných souborů.
Řekněme, že chceme chránit naše systémy Linux heslem. Spouštěcí položky systému Linux jsou generovány souborem 10_linux, takže použijeme sudo nano /etc/grub.d/10_linux příkaz otevřít. Při úpravách tohoto souboru buďte opatrní! Pokud zapomenete heslo nebo zadáte nesprávné heslo, nebudete moci spustit systém Linux, dokud nezavedete systém z živého disku CD a nezměníte nejprve nastavení Grubu.
Toto je dlouhý soubor se spoustou věcí, takže narazíme na Ctrl-W a hledáme řádek, který chceme. Typ jídelní lístek na výzvu hledání a stiskněte klávesu Enter. Uvidíte řádek začínající na printf.
Stačí změnit
printf „menuentry‘ $ {title} ’
bit na začátku řádku do:
printf “menuentry - jméno uživatele‘ $ {title} ”
Zde jsme Jimovi poskytli přístup k našim Linuxovým spouštěcím položkám. Bob má také přístup, protože je super uživatel. Pokud bychom místo „jim“ uvedli „bob“, Jim by neměl žádný přístup.
Stiskněte Ctrl-O a Enter, poté Ctrl-X pro uložení a zavření souboru po jeho úpravě.
To by se časem mělo usnadnit, protože vývojáři Grubu přidávají další příkazy k příkazu grub-mkconfig.
Aktivace vašich změn
Vaše změny se projeví až po spuštění sudo update-grub příkaz. Tento příkaz vygeneruje nový konfigurační soubor Grub.
Pokud jste výchozí spouštěcí položku chránili heslem, zobrazí se při spuštění počítače výzva k přihlášení.
Pokud je Grub nastaven tak, aby zobrazoval spouštěcí nabídku, nebudete moci upravovat spouštěcí položku nebo používat režim příkazového řádku, aniž byste zadali heslo superuživatele.
