Загрузчик Ubuntu Grub позволяет любому редактировать загрузочные записи или использовать режим командной строки по умолчанию. Защитите Grub паролем, и никто не сможет его отредактировать – вам даже может потребоваться пароль перед загрузкой операционных систем.
Параметры конфигурации Grub 2 разделены на несколько файлов, а не на один файл menu.lst, используемый Grub 1, поэтому установка пароля стала более сложной. Эти шаги применимы к Grub 1.99, используемому в Ubuntu 11.10. Процесс может отличаться в будущих версиях.
Генерация хэша пароля
Во-первых, мы запустим терминал из меню приложений Ubuntu.
Теперь мы сгенерируем запутанный пароль для файлов конфигурации Grub. Просто введите grub-mkpasswd-pbkdf2 и нажмите Enter. Он попросит вас ввести пароль и предоставит вам длинную строку. Выделите строку мышью, щелкните ее правой кнопкой мыши и выберите «Копировать», чтобы скопировать ее в буфер обмена на потом.
Этот шаг технически необязателен – мы можем ввести наш пароль в виде простого текста в файлах конфигурации Grub, но эта команда скрывает его и обеспечивает дополнительную безопасность.
Установка пароля
Введите sudo nano /etc/grub.d/40_custom , чтобы открыть файл 40_custom в текстовом редакторе Nano. Это место, где вы должны поставить свои собственные настройки. Они могут быть перезаписаны новыми версиями Grub, если вы добавите их в другом месте.
Прокрутите вниз до конца файла и добавьте запись пароля в следующем формате:
set superusers = ”name”
password_pbkdf2 name [длинная строка из ранее]
Здесь мы добавили суперпользователя с именем «bob» с нашим паролем от ранее. Мы также добавили пользователя с именем jim с небезопасным паролем в виде простого текста.
Обратите внимание, что Боб – суперпользователь, а Джим – нет. Какая разница? Суперпользователи могут редактировать загрузочные записи и получать доступ к командной строке Grub, а обычные пользователи – нет. Вы можете назначить определенные загрузочные записи обычным пользователям, чтобы предоставить им доступ.
Сохраните файл, нажав Ctrl-O и Enter, затем нажмите Ctrl-X для выхода. Ваши изменения не вступят в силу, пока вы не запустите команду sudo update-grub ; см. раздел «Активация ваших изменений» для более подробной информации.
Защита паролем загрузочных записей
Создание суперпользователя дает нам большую часть пути. С настроенным суперпользователем Grub автоматически запрещает пользователям редактировать загрузочные записи или получать доступ к командной строке Grub без пароля.
Хотите защитить паролем определенную загрузочную запись, чтобы никто не мог загрузить ее без предоставления пароля? Мы тоже можем это сделать, хотя сейчас это немного сложнее.
Во-первых, нам нужно определить файл, содержащий загрузочную запись, которую вы хотите изменить. Введите sudo nano /etc/grub.d/ и нажмите клавишу Tab, чтобы просмотреть список доступных файлов.
Допустим, мы хотим защитить паролем наши системы Linux. Загрузочные записи Linux создаются файлом 10_linux, поэтому мы используем команду sudo nano /etc/grub.d/10_linux , чтобы открыть его. Будьте осторожны при редактировании этого файла! Если вы забудете свой пароль или введете неправильный пароль, вы не сможете загрузиться в Linux, если вы не загрузитесь с live CD и сначала не измените настройки Grub.
Это длинный файл, в котором много чего происходит, поэтому мы нажмем Ctrl-W, чтобы найти нужную строку. Введите menuentry в строке поиска и нажмите Enter. Вы увидите строку, начинающуюся с printf.
Просто измените
printf «menuentry‘ $ {title} ’
бит в начале строки, чтобы:
printf «menuentry – имя пользователя‘ $ {title} »
Здесь мы предоставили Джиму доступ к нашим загрузочным записям Linux. Боб также имеет доступ, так как он супер пользователь. Если бы мы указали «bob» вместо «jim», у Джима не было бы никакого доступа вообще.
Нажмите Ctrl-O и Enter, затем Ctrl-X, чтобы сохранить и закрыть файл после его изменения.
Со временем это станет проще, так как разработчики Grub добавляют больше опций в команду grub-mkconfig.
Активация ваших изменений
Ваши изменения не вступят в силу, пока вы не запустите команду sudo update-grub . Эта команда создает новый файл конфигурации Grub.
Если вы защищаете паролем загрузочную запись по умолчанию, вы увидите приглашение при входе в систему при запуске компьютера.
Если Grub настроен на отображение загрузочного меню, вы не сможете редактировать загрузочную запись или использовать режим командной строки без ввода пароля суперпользователя.
