1

Тема: Захист паролем GRUB Linux

Захист паролем GRUB Linux

Для того, щоб згенерувати зашифрований пароль для GRUB
в консолі треба ввести:

grub-mkpasswd-pbkdf2

Далі вас попросять ввести пароль і повторити його.
Після цього ви отримаєте хеш пароля, щось на зразок:

PBKDF2 hash of your password is grub.pbkdf2.sha512.10000.63553D205CF6E...

Тепер треба відкрити ось такий файл у режимі адміністратора:

/etc/grub.d/40_custom

І додати туди:

set superusers="ім’я_користувача"  
password_pbkdf2 ім’я_користувача хеш-пароля

Та оновити конфігурацію GRUB:

sudo update-grub

Тепер при будь-яких діях з GRUB меню система вимагатиме ім’я користувача і пароль.
Якщо ж ви хочете захистити паролем лише редагування конфігурацій завантаження, то у файлі:

/etc/grub.d/10_linux

До рядка CLASS="--class gnu-linux --class gnu --class os" треба додати "--unrestricted", але обов’язково в межах лапок, щоб вийшло ось так:

CLASS="--class gnu-linux --class gnu --class os --unrestricted"

І оновіть GRUB вищенаведеною командою. У цьому випадку ви зможете завантажувати систему без введення пароля, але при спробі ввійти в режим редагування чи зайти до субменю у вас вимагатимуть логін та пароль.

Перевірено на Ubuntu i Manjaro, у Fedora чи інших дистрибутивів можуть бути свої особливості.

Це потрібно робити, особливо для комп’ютерів у навчальних центрах, бо якщо зловмисник має фізичний доступ до комп’ютера, то при вході до режиму редагування в GRUB меню можна запустити режим single-user, що автоматично надає права адміністратора з можливістю скидання поточного пароля.

Подякували: HetmanNet, leofun012

2

Re: Захист паролем GRUB Linux

Примітка: Після оновлення ядра файл 10_linux автоматично перезаписується,
тому потрібно повторити процедуру з додаванням «unrestricted» та оновити GRUB командою:

sudo update-grub