zxc12
Пассажир
- Сообщения
- 49
- Реакции
- 387
Приветствую Уважаемые!
Возможно тема и баян, но я всё же решился немного осветить её.
Без пароля на загрузчик, любой пользователь может войти в режим редактирования ядра и внести свои настройки в bootloader, чтобы исключить возможность менять конфигурацию загрузчика вне загруженной системы, нам нужно поставить на него свой пароль.
Конечно от онлайн нападок на машину это врятли спасёт, но от сторонних физических недоброжелателей, в полне таки сойдёт, (хотя и тут ось на флешке придёт на помощь)
Итак, когда мы говорим о парольной защите grub основные вещи которые мы должны знать:
Во первых, как известно существуют 2 типа пользователей:
Пользователь всегда определяется с помощью ключевого слова password, затем указывается имя пользователя, затем пароль:
Для создания открытого пароля открываем файл /etc/grub.d/00_header и в самый конец файла добавляем:
Где user1 - имя вашего пользователя и
passwd_1 - пароль на загрузчик
И для завершения всего, после указания всех параметров, нам необходимо обновить файл grub.cfg для этого вводим:
Алгоритм хеширования PBKDF2
Если в предыдущем варианте мы расмотреле хранение пароля от Grub в открытую в файле 00_header, то в этом случае мы расмотрим пароль в виде алгоритма хеширования PBKDF2
для этого вводим в терминал:
Ответ:
Затем в конфигурационном файле 00_header указываем всё тоже самое что и к открытому паролю, только к password добавляете через нижнее подчёркивание алгоритм хеширования _pbkdf2:
И для завершения всего, после указания всех параметров, нам необходимо обновить файл grub.cfg для этого вводим:
Если вдруг вы всё таки по не осторожности забыли пароль, или кому-то потребовалось его восстановить, то с помощью LiveUsb приводите файл 00_header в свой первоначальный вид.
А для большей пароноидальности и для усложнения жизни себе и посторонним, влепите ещё пароль и на BIOS!
Тогда не вы и не посторонний уж точно не сможет войти в систему
P.s. Если кому интересно, то могу дополнить тему тем, как довать разным пользователям разные привелегии для загрузчика, или как определённым пользователям загружать только одну систему из списка (если у вас установлено не одна система)
Возможно тема и баян, но я всё же решился немного осветить её.
Без пароля на загрузчик, любой пользователь может войти в режим редактирования ядра и внести свои настройки в bootloader, чтобы исключить возможность менять конфигурацию загрузчика вне загруженной системы, нам нужно поставить на него свой пароль.
Конечно от онлайн нападок на машину это врятли спасёт, но от сторонних физических недоброжелателей, в полне таки сойдёт, (хотя и тут ось на флешке придёт на помощь)
Итак, когда мы говорим о парольной защите grub основные вещи которые мы должны знать:
Во первых, как известно существуют 2 типа пользователей:
- Суперпользователь - создание записей загрузчика.
- Обычный пользователь - использование записей загрузчика.
- Обычный пароль - который хранится в открытом виде в конфигурационном файле.
- Зашифрованный пароль - хранится в зашифрованном виде при помощи алгоритма хеширования PBKDF2.
Пользователь всегда определяется с помощью ключевого слова password, затем указывается имя пользователя, затем пароль:
Для создания открытого пароля открываем файл /etc/grub.d/00_header и в самый конец файла добавляем:
Где user1 - имя вашего пользователя и
passwd_1 - пароль на загрузчик
И для завершения всего, после указания всех параметров, нам необходимо обновить файл grub.cfg для этого вводим:
$ sudo grub-mkconfig -o /boot/grub/grub.cfgАлгоритм хеширования PBKDF2
Если в предыдущем варианте мы расмотреле хранение пароля от Grub в открытую в файле 00_header, то в этом случае мы расмотрим пароль в виде алгоритма хеширования PBKDF2
для этого вводим в терминал:
$ grub-mkpasswd-pbkdf2Ответ:
Затем в конфигурационном файле 00_header указываем всё тоже самое что и к открытому паролю, только к password добавляете через нижнее подчёркивание алгоритм хеширования _pbkdf2:
И для завершения всего, после указания всех параметров, нам необходимо обновить файл grub.cfg для этого вводим:
$ sudo grub-mkconfig -o /boot/grub/grub.cfgЕсли вдруг вы всё таки по не осторожности забыли пароль, или кому-то потребовалось его восстановить, то с помощью LiveUsb приводите файл 00_header в свой первоначальный вид.
А для большей пароноидальности и для усложнения жизни себе и посторонним, влепите ещё пароль и на BIOS!
Тогда не вы и не посторонний уж точно не сможет войти в систему
P.s. Если кому интересно, то могу дополнить тему тем, как довать разным пользователям разные привелегии для загрузчика, или как определённым пользователям загружать только одну систему из списка (если у вас установлено не одна система)
