Warum sollte ein Linux-Bootloader einen Passwortschutz haben?
Im Folgenden sind die Hauptgründe für den Kennwortschutz eines Linux-Bootloaders aufgeführt:
1. Verhindern des Zugriffs auf den Einzelbenutzermodus – Wenn ein Angreifer im Einzelbenutzermodus booten kann, wird er zum Root-Benutzer.
2. Zugriff auf die GRUB-Konsole verhindern – Wenn der Computer GRUB als Bootloader verwendet, kann ein Angreifer die GRUB-Editor-Oberfläche verwenden, um seine Konfiguration zu ändern oder mit dem cat-Befehl Informationen zu sammeln.
3. Verhindern des Zugriffs auf unsichere Betriebssysteme – Wenn es sich um ein Dual-Boot-System handelt, kann ein Angreifer beim Booten ein Betriebssystem auswählen, z. B. DOS, das Zugriffskontrollen und Dateiberechtigungen ignoriert.
1. GRUB2 so konfigurieren, dass ein Passwort nur zum Ändern von Einträgen erforderlich ist
Führen Sie die folgenden Schritte aus, um eine Kennwortauthentifizierung zum Ändern von GRUB 2-Einträgen anzufordern:
1. Führen Sie den Befehl grub2-setpassword als root aus:
# grub2-setpassword Enter password: Confirm password:
2. Geben Sie das Passwort ein und bestätigen Sie es. Das ist alles dazu. Der Passwort-Hash wird in /boot/grub2/user.cfg gespeichert Datei im verschlüsselten Format.
3. Mit dieser Änderung erfordert das Ändern eines Boot-Eintrags während des Bootens die Angabe der Anmeldeinformationen.
2. GRUB 2 so konfigurieren, dass ein Passwort zum Ändern und Booten von Einträgen erforderlich ist
Um auch ein Passwort zum Booten eines Eintrags zu verlangen, folgen Sie diesen Schritten, nachdem Sie das Passwort mit grub2-setpassword gesetzt haben:
1. Öffnen Sie die /boot/grub2/grub.cfg Datei.
2. Suchen Sie den Boot-Eintrag, den Sie mit einem Passwort schützen möchten, indem Sie nach Zeilen suchen, die mit menuentry.
beginnen3. Löschen Sie die –uneingeschränkt Parameter aus dem Menüeintragsblock.
4. Speichern und schließen Sie die Datei.