Sie haben vielleicht schon von diesem alten Sprichwort gehört - "boot access==root access" . Es ist in der Tat wahr! Jeder, der auf den Bootloader zugreifen kann, kann leicht den Root-Zugriff auf Ihr System erhalten. Wir haben bereits eine Anleitung veröffentlicht, die beschreibt, wie man das Root-Passwort unter Linux zurücksetzt . In diesem Tutorial haben Sie gelernt, wie Sie das Root-Benutzerkennwort über den Grub-Bootloader einfach zurücksetzen oder wiederherstellen können. Sobald jemand physischen und/oder Bootloader-Zugriff auf eine Maschine hat, gibt es keine Möglichkeit, ihn zu stoppen. Aus diesem Grund müssen wir eine zusätzliche Sicherheit hinzufügen, indem wir den Grub Bootloader mit einem starken Passwort schützen. Wenn Sie ein Linux-Administrator sind, sollten Sie wissen, wie Sie Ihren Bootloader sichern. Diese Anleitung erklärt, wie man den Grub-Bootloader in CentOS mit einem Passwort schützt. Ich habe diese Anleitung auf CentOS 6.x- und CentOS 7.x-Systemen getestet und sie hat wie unten beschrieben einwandfrei funktioniert.
Kennwortgeschützter GRUB-Bootloader in RHEL 6.x, CentOS 6.x
In älteren Linux-Distributionen wie CentOS 6.x, RHEL 6.x ist Grub der Standard-Bootloader. Dieser Abschnitt beschreibt, wie Sie das Grub-Passwort in CentOS 6.x-Systemen festlegen.
Bevor Sie Änderungen vornehmen, wird immer empfohlen, die GRUB-Konfigurationsdatei zu sichern
# cp /etc/grub.conf /etc/grub.conf.bak
Zuerst müssen wir das Passwort verschlüsseln. Melden Sie sich dazu als Root-Benutzer bei Ihrem Centos-System an und erstellen Sie eine Datei mit dem Namen grub Wie nachfolgend dargestellt. Alle unten angegebenen Befehle sollten als root ausgeführt werden Benutzer.
# touch grub
Als nächstes verschlüsseln Sie das Passwort mit "md5crypt " Befehl. Führen Sie dazu den folgenden Befehl im Terminal aus und drücken Sie die EINGABETASTE.
# grub-md5-crypt>grub
Geben Sie Ihr Passwort zweimal ein. Bitte beachten Sie, dass Sie nichts sehen, wenn Sie das Passwort auf Ihrem Bildschirm eingeben. Geben Sie einfach das Passwort trotzdem ein und drücken Sie die EINGABETASTE. Geben Sie dasselbe Passwort erneut ein und drücken Sie die EINGABETASTE.
Das Passwort wurde verschlüsselt. Als nächstes müssen wir dieses Passwort in /etc/grub.conf hinzufügen Datei.
Lassen Sie uns nun das Passwort in der grub.conf hinzufügen Datei. Öffnen Sie dazu die beiden Dateien grub und /etc/grub.conf Dateien.
# vi /root/grub /etc/grub.conf
Der obige Befehl öffnet beide Dateien in vi Herausgeber.
Sie sehen das verschlüsselte Passwort wie unten. Bewegen Sie den Cursorpunkt und platzieren Sie ihn vor dem Passwort. Geben Sie dann yy ein um das Passwort zu reißen (kopieren).
Passwort:Passwort erneut eingeben:$1$Ch0NF/$0XsWw8.EW31vRjm5zsnPb/
Geben Sie dann :n ein (Doppelpunkt n ). Dadurch wechseln Sie zur nächsten Datei, z. B. /etc/grub.conf .
Nach splashimage=(hd0,0)/grub/splash.xpm.gz drücken Sie p um das verschlüsselte Passwort aus der vorherigen Datei einzufügen.
Drücken Sie dann i und fügen Sie die Zeile password --md5 hinzu vor dem verschlüsselten Passwort, wie unten gezeigt.
Passwort --md5 $1$I2w2s1$EPZtrLn/h2M4qfh48ZL8O0
Weitere Erläuterungen finden Sie im folgenden Screenshot.
Hier, $1$I2w2s1$EPZtrLn/h2M4qfh48ZL8O0 ist das verschlüsselte Grub-Passwort meines CentOS 6-Systems. Ersetzen Sie es durch Ihr eigenes.
Drücken Sie dann ESC und geben Sie :wq ein um die Datei zu speichern und zu schließen.
Starten Sie Ihr System neu.
Von nun an können Sie das Grub-Menü nicht mehr bearbeiten, ohne zuerst das Passwort einzugeben.
Um das Grub-Menü zu bearbeiten, drücken Sie p . Sie werden aufgefordert, das Passwort einzugeben. Geben Sie einfach das Passwort ein, um das Grub-Startmenü zu entsperren.
Jetzt können Sie alle gewünschten Änderungen im Grub-Boot-Menü vornehmen.
Kennwortgeschützter GRUB2-Bootloader in RHEL 7.x, CentOS 7.x
In RHEL 7 und seinen Klonen wie CentOS 7, Scientific Linux 7 ist Grub2 der Standard-Bootloader. Das Schützen des Grub2-Bootloaders mit einem Passwort unterscheidet sich vom Grub-Bootloader.
Erstellen Sie zunächst das verschlüsselte Passwort mit dem folgenden Befehl als root Benutzer:
# grub2-mkpasswd-pbkdf2
Beispielausgabe:
Passwort eingeben:Passwort erneut eingeben:PBKDF2 Hashwert Ihres Kennworts ist grub.pbkdf2.sha512.10000.62C46DE64C6BDE39A440092F521F86E24F486F5F9FE58B38D1CA9DDA27D6DDA6A6F5615836537B31AF2D06D2C5A8C6BE26709269A08E81286357501882016523.FD91A05503B0538FBA4CF9783A13727C43917E63528FF9FFC9917E4780B9C420CEDAE98451CF9256BA77AC144FA6734CA193D1E4183AC71E1F297BD7868FFC4B
Wir haben gerade ein verschlüsseltes Passwort erstellt, um den Grub2-Bootloader zu sichern.
Wie Sie vielleicht bereits wissen, wird es nicht empfohlen um das neu generierte Passwort zu bearbeiten und direkt in die Hauptkonfigurationsdatei von grub2 einzufügen.
Stattdessen sollten wir das Passwort in einer benutzerdefinierten Grub2-Menüdatei hinzufügen, die sich in /etc/grub.d/ befindet Verzeichnis und aktualisieren Sie schließlich die Hauptkonfigurationsdatei von Grub2, d.h. /etc/grub.cfg .
Erstellen Sie eine Kopie der benutzerdefinierten Grub2-Menüdatei:
# cp /etc/grub.d/40_custom /etc/grub.d/40_custom.bak
Bearbeiten Sie dann die benutzerdefinierte Grub2-Menükonfigurationsdatei als root Benutzer:
# vi /etc/grub.d/40_custom
Fügen Sie die folgenden Zeilen hinzu. Stellen Sie sicher, dass Sie das richtige Passwort eingefügt haben, das wir zuvor generiert haben.
set Superuser ="root" password_pbkdf2 root grub.pbkdf2.sha512.10000.62C46DE64C6BDE39A440092F521F86E24F486F5F9FE58B38D1CA9DDA27D6DDA6A6F5615836537B31AF2D06D2C5A8C6BE26709269A08E81286357501882016523.FD91A05503B0538FBA4CF9783A13727C43917E63528FF9FFC9917E4780B9C420CEDAE98451CF9256BA77AC144FA6734CA193D1E4183AC71E1F297BD7868FFC4B
Drücken Sie ESC und geben Sie :wq ein um die Datei zu speichern und zu schließen.
Jetzt ist es an der Zeit, die Hauptkonfigurationsdatei von Grub2 zu aktualisieren.
Stellen Sie sicher, dass Sie eine Sicherungskopie der Hauptkonfigurationsdatei von Grub2 haben.
# cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak
Aktualisieren Sie die Grub2-Bootloader-Konfigurationsdatei mit dem Befehl:
# grub2-mkconfig -o /boot/grub2/grub.cfg
Beispielausgabe:
Grub-Konfigurationsdatei wird generiert ...Linux-Image gefunden:/boot/vmlinuz-3.10.0-327.22.2.el7.x86_64Initrd-Image gefunden:/boot/initramfs-3.10.0-327.22.2.el7.x86_64. imgLinux-Image gefunden:/boot/vmlinuz-3.10.0-327.13.1.el7.x86_64Initrd-Image gefunden:/boot/initramfs-3.10.0-327.13.1.el7.x86_64.imgLinux-Image gefunden:/boot/vmlinuz-3.10 .0-123.9.3.el7.x86_64Initrd-Image gefunden:/boot/initramfs-3.10.0-123.9.3.el7.x86_64.imgLinux-Image gefunden:/boot/vmlinuz-3.10.0-123.el7.x86_64Initrd-Image gefunden :/boot/initramfs-3.10.0-123.el7.x86_64.imgLinux-Image gefunden:/boot/vmlinuz-0-rescue-e250d471d5594282ba042c653cfa0172Initrd-Image gefunden:/boot/initramfs-0-rescue-e250d471d5594282ba3prec142c6Ob das Passwort korrekt gesetzt wurde, können Sie in der
/etc/grub2.cfgüberprüfen Datei wie unten gezeigt.# cat /etc/grub2.cfgBeispielausgabe wäre:
Wir sind bereit. Starten Sie Ihr System neu, um zu überprüfen, ob der Bootloader mit einem Passwort gesichert wurde.
Versuchen Sie nach dem Neustart des Systems, den Grub2-Bootloader zu bearbeiten. Drücken Sie dazu
e.
Sie werden aufgefordert, den Benutzernamen und das Passwort einzugeben, die wir im vorherigen Schritt definiert haben.
Wenn Sie den richtigen Benutzernamen und das richtige Passwort eingegeben haben, können Sie den Grub2-Bootloader bearbeiten.
Sie wissen jetzt, wie Sie den Grub- und Grub2-Bootloader unter Linux mit einem Passwort schützen. Das Festlegen des Grub-Passworts schützt Ihr System möglicherweise nicht vollständig. Es wird Ihren CentOS-Linux-Servern jedoch definitiv eine zusätzliche Sicherheitsebene hinzufügen.