Wenn Sie ein Linux-Systemadministrator sind, möchten Sie möglicherweise keine anderen in Ihrer IT-Abteilung, die physischen Zugriff auf die Server, ändern Sie alles im GRUB-Bootloader-Menü, das während des Systemstarts angezeigt wird.
GRUB ist die dritte Stufe im Linux-Boot-Prozess, den wir bereits besprochen haben.
Mit den GRUB-Sicherheitsfunktionen können Sie ein Kennwort für die Grub-Einträge festlegen. Sobald Sie ein Passwort festgelegt haben, können Sie keine Grub-Einträge bearbeiten oder Argumente von der Grub-Befehlszeile an den Kernel übergeben, ohne das Passwort einzugeben.
Es wird dringend empfohlen, das GRUB-Passwort auf allen kritischen Produktionssystemen festzulegen, wie in diesem Artikel beschrieben.
1. Verwenden Sie den Grub-Passwortbefehl in grub.conf
Auf einem System, auf dem GRUB nicht mit dem Passwort gesichert ist, wird die folgende Meldung während des Systemstarts direkt unter dem GRUB-Menü angezeigt.
Wie Sie dieser Nachricht entnehmen können, kann jeder, der vor der Konsole steht und den Server neu startet, die Grub-Befehle bearbeiten oder sogar die Kernel-Argumente ändern, was wahrscheinlich zu Problemen führen wird, wenn jemand, der nicht weiß, was er tut, spielt damit auf Produktionssystemen herum.
Use the up-arrow and down-arrow keys to select which entry is highlighted. Press enter to boot the selected OS, 'e' to edit the commands before booting, 'a' to modify the kernel arguments before booting, or 'c' for a command-line
/boot/grub/grub.conf enthält Informationen zu den Einträgen, die beim Systemstart im GRUB-Menü angezeigt werden. Auf einigen Systemen ist /etc/grub.conf ein symbolischer Link zu /boot/grub/grub.conf
Fügen Sie die folgende „password“-Zeile zur Datei grub.conf hinzu.
$ cat /etc/grub.conf default=0 timeout=15 password GrbPwd4SysAd$ ..
Sobald der Befehl „password“ zur grub.conf hinzugefügt wurde, wird die folgende Meldung während des Systemstarts direkt unter dem GRUB-Menü angezeigt.
Wie Sie dieser Nachricht entnehmen können, kann niemand die Grub-Befehle bearbeiten oder die Kernel-Argumente ändern, ohne das GRUB-Passwort einzugeben, das Sie in der grub.conf angegeben haben. Sie können nur einen der angezeigten Einträge auswählen und von hier aus booten.
Use the up-arrow and down-arrow keys to select which entry is highlighted. Press enter to boot the selected OS or 'p' to enter a password to unlock the next set of features.
2. Verschlüsseln Sie das Grub-Passwort mit grub-crypt
Beim Lesen des obigen Eintrags haben Sie sich wahrscheinlich gedacht:Ja, das Grub ist durch ein Passwort gesichert. Aber das Passwort selbst steht im Klartext in der Datei grub.conf, was den Zweck irgendwie zunichte macht.
Sie können das Dienstprogramm grub-crypt verwenden, um ein verschlüsseltes Passwort zu erstellen.
grub-crypt erhält das Klartextpasswort vom Benutzer und zeigt das verschlüsselte Passwort wie unten gezeigt an.
# grub-crypt Password: GrbPwd4SysAd$ Retype password: GrbPwd4SysAd$ ^9^32kwzzX./3WISQ0C
Ändern Sie die Datei grub.conf, fügen Sie den Eintrag „password“ mit dem Argument –encrypted hinzu, wie unten gezeigt. Kopieren Sie einfach die Ausgabe des grub-crypt-Befehls und fügen Sie sie nach dem „–encrypted“-Argument in den Passworteintrag ein.
$ cat /etc/grub.conf default=0 timeout=15 password --encrypted ^9^32kwzzX./3WISQ0C ..
Standardmäßig verschlüsselt der Befehl grub-crypt das Passwort mit dem SHA-512-Algorithmus. Sie können das Passwort auch mit SHA-256- oder MD5-Algorithmen verschlüsseln, wie unten gezeigt.
# grub-crypt --sha-256 # grub-crypt --md5
Sie können das Passwort auch mit md5crypt verschlüsseln. In diesem Fall sollten Sie in Ihrer grub.conf-Datei „password –md5 verschlüsseltes Passwort“ verwenden.
Wenn Sie im Skriptabschnitt Ihrer Datei grub.conf „lock“ angeben, führt grub den Rest der Befehle in diesem Abschnitt des Menüeintrags nur aus, wenn der Benutzer authentifiziert ist.
3. Laden Sie eine andere Datei für das Grub-Menü
Standardmäßig werden die Einträge im GRUB-Menü beim Systemstart aus der Datei grub.conf übernommen. d.h. basierend auf der Zeile, die mit dem Eintrag „title“ aus der Datei grub.conf beginnt.
Wenn Sie eine Variation eines neuen Kernels testen, möchten Sie möglicherweise eine separate Grub-Menüdatei erstellen, die die benutzerdefinierten Menüeinträge enthält. Beim Systemstart werden standardmäßig nur die Einträge aus der grub.conf angezeigt. Wenn Sie jedoch ein Passwort eingeben, können Sie grub anweisen, Ihre benutzerdefinierten Menüeinträge zu laden.
Dies wird erreicht, indem der Dateiname des benutzerdefinierten Menüs an den Passwortbefehl übergeben wird, wie unten in der Datei grub.conf gezeigt.
Im folgenden Beispiel werden die Grub-Menüeinträge aus /etc/mymenu.lst geladen und angezeigt, wenn Sie das Passwort während des Systemstarts eingeben.
$ cat /etc/grub.conf default=0 timeout=15 password --encrypted ^9^32kwzzX./3WISQ0C /etc/mymenu.lst ..