Startseite » wie man » So schützen Sie den Bootloader von Ubuntu mit einem Kennwort

    So schützen Sie den Bootloader von Ubuntu mit einem Kennwort

    Mit dem Grub-Bootloader von Ubuntu kann jeder Booteinträge bearbeiten oder standardmäßig den Befehlszeilenmodus verwenden. Sichern Sie Grub mit einem Kennwort, und niemand kann sie bearbeiten. Sie können sogar ein Kennwort anfordern, bevor Sie Betriebssysteme starten.

    Die Konfigurationsoptionen von Grub 2 sind auf mehrere Dateien verteilt, anstatt auf die einzige menu.lst-Datei, die verwendet wird. Grub 1 ist daher das Festlegen eines Kennworts schwieriger geworden. Diese Schritte gelten für Grub 1.99, das in Ubuntu 11.10 verwendet wird. Der Prozess kann in zukünftigen Versionen abweichen.

    Passwort-Hash generieren

    Zuerst starten wir ein Terminal aus dem Anwendungsmenü von Ubuntu.

    Jetzt generieren wir ein verschlüsseltes Passwort für die Konfigurationsdateien von Grub. Schreib einfach grub-mkpasswd-pbkdf2 und drücken Sie die Eingabetaste. Sie werden aufgefordert, ein Kennwort einzugeben, und Sie erhalten eine lange Zeichenfolge. Wählen Sie die Zeichenfolge mit der Maus aus, klicken Sie mit der rechten Maustaste darauf und wählen Sie Kopieren, um sie für später in die Zwischenablage zu kopieren.

    Dieser Schritt ist technisch optional - wir können unser Passwort in Klubtext in den Konfigurationsdateien von Grub eingeben, aber dieser Befehl verschleiert es und bietet zusätzliche Sicherheit.

    Passwort festlegen

    Art sudo nano /etc/grub.d/40_custom um die 40_custom-Datei im Nano-Texteditor zu öffnen. Hier sollten Sie Ihre eigenen benutzerdefinierten Einstellungen vornehmen. Sie können durch neuere Versionen von Grub überschrieben werden, wenn Sie sie an anderer Stelle hinzufügen.

    Scrollen Sie bis zum Ende der Datei und fügen Sie einen Kennworteintrag im folgenden Format hinzu:

    set superusers = "name"
    password_pbkdf2 name [langer String von früher]

    Hier haben wir einen Superuser namens "bob" mit unserem Passwort von früher hinzugefügt. Wir haben auch einen Benutzer namens jim mit einem unsicheren Passwort im Klartext hinzugefügt.

    Beachten Sie, dass Bob ein Superuser ist, während Jim nicht ist. Was ist der Unterschied? Superuser können Booteinträge bearbeiten und auf die Grub-Befehlszeile zugreifen, normale Benutzer jedoch nicht. Sie können normalen Benutzern bestimmte Starteinträge zuweisen, um ihnen Zugriff zu gewähren.

    Speichern Sie die Datei durch Drücken von Strg-O und Eingabe und drücken Sie dann Strg-X, um den Vorgang zu beenden. Ihre Änderungen werden erst wirksam, wenn Sie das ausführen Sudo Update-Grub Befehl; Weitere Informationen finden Sie im Abschnitt Aktivieren der Änderungen.

    Passwortschutz für Starteinträge

    Das Erstellen eines Superbenutzers bringt uns am meisten voran. Wenn ein Superuser konfiguriert ist, verhindert Grub automatisch, dass Benutzer Starteinträge bearbeiten oder ohne Kennwort auf die Grub-Befehlszeile zugreifen.

    Möchten Sie einen bestimmten Starteintrag mit einem Kennwort schützen, sodass niemand ihn ohne Angabe eines Kennworts starten kann? Das können wir auch, obwohl es im Moment etwas komplizierter ist.

    Zuerst müssen wir die Datei ermitteln, die den Starteintrag enthält, den Sie ändern möchten. Art sudo nano /etc/grub.d/ und drücken Sie die Tabulatortaste, um eine Liste der verfügbaren Dateien anzuzeigen.

    Angenommen, wir möchten unsere Linux-Systeme mit einem Kennwort schützen. Linux-Starteinträge werden von der 10_linux-Datei generiert. Wir verwenden also die sudo nano /etc/grub.d/10_linux Befehl zum Öffnen. Seien Sie vorsichtig beim Bearbeiten dieser Datei! Wenn Sie Ihr Passwort vergessen oder ein falsches Kennwort eingeben, können Sie nicht in Linux booten, wenn Sie nicht von einer Live-CD booten und zuerst Ihr Grub-Setup ändern.

    Dies ist eine lange Datei mit vielen Dingen, also werden wir mit Strg-W nach der gewünschten Zeile suchen. Art Menüeintrag bei der Suchabfrage und drücken Sie die Eingabetaste. Sie sehen eine Zeile, die mit printf beginnt.

    Ändern Sie einfach die

    printf “Menüeintrag '$ title'

    Bit am Zeilenanfang an:

    printf "menuentry -users name '$ title"

    Hier haben wir Jim Zugriff auf unsere Linux-Boot-Einträge gegeben. Bob hat auch Zugang, da er ein super Benutzer ist. Wenn wir „bob“ anstelle von „jim“ angegeben hätten, hätte Jim überhaupt keinen Zugriff.

    Drücken Sie Strg-O und Eingabe und dann Strg-X, um die Datei nach dem Ändern zu speichern und zu schließen.

    Dies sollte im Laufe der Zeit einfacher werden, da die Entwickler von Grub dem Befehl grub-mkconfig weitere Optionen hinzufügen.

    Aktivieren Sie Ihre Änderungen

    Ihre Änderungen werden erst wirksam, wenn Sie das ausführen Sudo Update-Grub Befehl. Dieser Befehl generiert eine neue Grub-Konfigurationsdatei.

    Wenn Sie den Standardstarteintrag mit einem Kennwort geschützt haben, wird beim Starten des Computers eine Anmeldeaufforderung angezeigt.

    Wenn Grub so eingestellt ist, dass ein Startmenü angezeigt wird, können Sie keinen Starteintrag bearbeiten oder den Befehlszeilenmodus verwenden, ohne das Kennwort eines Superbenutzers einzugeben.