Sådan beskytter du Ubuntu Boot Loader
Ubuntu's Grub boot loader lader nogen redigere boot poster eller bruge sin kommandolinje tilstand som standard. Secure Grub med et kodeord, og ingen kan redigere dem - du kan endda kræve en adgangskode, før du starter operativsystemerne.
Grub 2s konfigurationsindstillinger er delt på flere filer i stedet for den enkelte menu.lst-fil Grub 1, der bruges, så indstillingen af en adgangskode er blevet mere kompliceret. Disse trin gælder for Grub 1.99, der anvendes i Ubuntu 11.10. Processen kan være anderledes i fremtidige versioner.
Generering af et kodeord
Først afbrænder vi en terminal fra Ubuntus applikationsmenu.
Nu genererer vi et forvirret kodeord for Grubs konfigurationsfiler. Skriv bare grub-mkpasswd-pbkdf2 og tryk på Enter. Det vil bede dig om et kodeord og give dig en lang streng. Vælg streng med musen, højreklik på den og vælg Kopi for at kopiere den til dit udklipsholder til senere.
Dette trin er teknisk valgfrit - vi kan indtaste vores adgangskode i almindelig tekst i Grubs konfigurationsfiler, men denne kommando forvirrer den og giver yderligere sikkerhed.
Indstilling af et kodeord
Type sudo nano /etc/grub.d/40_custom for at åbne 40_custom-filen i Nano-teksteditoren. Dette er stedet, hvor du skal sætte dine egne brugerdefinerede indstillinger. De kan overskrives af nyere versioner af Grub, hvis du tilføjer dem andre steder.
Rul ned til bunden af filen og tilføj en adgangskodeindtastning i følgende format:
sæt superuser = "navn"
password_pbkdf2 navn [lang streng fra tidligere]
Her har vi tilføjet en superbruger ved navn "bob" med vores adgangskode fra tidligere. Vi har også tilføjet en bruger ved navn jim med en usikker adgangskode i almindelig tekst.
Bemærk, at Bob er superbruger, mens Jim ikke er det. Hvad er forskellen? Superusers kan redigere opstartsposter og få adgang til kommandolinjen Grub, mens normale brugere ikke kan. Du kan tildele specifikke opstartsposter til normale brugere for at give dem adgang.
Gem filen ved at trykke på Ctrl-O og Enter, og tryk derefter på Ctrl-X for at afslutte. Dine ændringer træder først i kraft, indtil du kører sudo update-grub kommando; Se afsnittet Aktivering af dine ændringer for flere detaljer.
Adgangskodebeskyttelse af bootindtastninger
Oprettelse af en superbruger får os mest af vejen. Med en superbrugerkonfiguration forhindrer Grub automatisk personer fra at redigere boot-poster eller få adgang til kommandolinjen Grub uden et kodeord.
Vil du kodeordbeskytte en bestemt opstartspost, så ingen kan starte den uden at give adgangskode? Det kan vi også gøre, selvom det er lidt mere kompliceret i øjeblikket.
Først skal vi bestemme den fil, der indeholder den opstartspost, du vil ændre. Type sudo nano /etc/grub.d/ og tryk på Tab for at få vist en liste over de tilgængelige filer.
Lad os sige, at vi vil kodeordbeskytte vores Linux-systemer. Linux boot entries genereres af 10_linux filen, så vi vil bruge sudo nano /etc/grub.d/10_linux kommando for at åbne den. Vær forsigtig, når du redigerer denne fil! Hvis du glemmer din adgangskode eller indtaster en forkert, vil du ikke kunne starte i Linux, medmindre du starter fra en live-cd og ændrer din Grub-opsætning først.
Dette er en lang fil med mange ting foregår, så vi rammer Ctrl-W for at søge efter den linje, vi ønsker. Type menuentry ved søgeprompten og tryk på Enter. Du ser en linje der starter med printf.
Bare ændre
printf "menuentry '$ title'
bit ved starten af linjen til:
printf "menuentry -users navn '$ title"
Her har vi givet Jim adgang til vores Linux boot-poster. Bob har også adgang, da han er en super bruger. Hvis vi specificerede "bob" i stedet for "Jim", ville Jim ikke have nogen adgang overhovedet.
Tryk på Ctrl-O og Enter, og derefter Ctrl-X for at gemme og lukke filen efter ændring af den.
Dette burde blive lettere over tid, da Grub's udviklere tilføjer flere muligheder til kommandoen grub-mkconfig.
Aktivering af dine ændringer
Dine ændringer træder først i kraft, indtil du kører sudo update-grub kommando. Denne kommando genererer en ny Grub-konfigurationsfil.
Hvis du har adgangskodebeskyttet standard opstart, vises en login prompt, når du starter din computer.
Hvis Grub er indstillet til at vise en opstartsmenu, kan du ikke redigere en opstartspost eller bruge kommandolinjemodus uden at indtaste en superbrugerens adgangskode.