пятница, 27 марта 2009 г.

Защита загрузчика GRUB паролем

Ни для кого не секрет, что в Unix/Linux системе очень легко сбросить пароль root, имея физический доступ к компьютеру. Либо загрузившись с LiveCD/LiveUSB, либо передав штатному загрузчику параметры для запуска однопользовательского режима. Если от первого варианта можно (относительно) защититься, отключив в BIOS возможность загрузки со съемных носителей, установив пароль на BIOS и опечатыванием системника (а так же навешиванием замков или завариванием корпуса - кому что нравится :) ), то защита от второго способа - это установка пароля на загрузчик. Далее речь пойдет о GRUB.

Запускаем специальную утилиту, входящую в состав GRUB:
/sbin/grub-md5-crypt
Дважды вводим желаемый пароль и получаем md5-хэш пароля.
Теперь надо внести изменения в /boot/grub/grub.conf (в некоторых дистрибутивах /boot/grub/menu.lst).

После строчки timeout нужно вставить:
password --md5 полученный-хеш-пароля

Начиная со следующей перезагрузки для изменения параметров загрузки нужно будет нажимать p и вводить пароль. Теперь постороний человек не сможет загрузиться в однопользовательском режиме.

В GRUB также можно защитить паролем саму загрузку. В том же файле в секции, относящейся к конкретной системе нужно вставить строчку lock:
title Gentoo Linux
lock
root (hd0,0)
kernel /boot/vmlinuz root=/dev/sda1
Будет использоваться тот же пароль, что и для редактирования параметров. Если нужен другой, то получить его можно тем же способом, а потом вписать в секцию конкретной системы:
title Gentoo Linux
lock
password --md5 хеш-нового-пароля
root (hd0,0)
kernel /boot/vmlinuz root=/dev/sda1
Если на компьютере несколько систем, то можно каждую защитить своим паролем.

Комментариев нет:

Отправить комментарий