Захист завантажувача GRUB у Linux: Керівництво з налаштування пароля

GRUB (Grand Unified Bootloader) — це завантажувач, який використовується в більшості Linux-систем для завантаження операційної системи. Забезпечення його захисту особливо важливо для сервера або критично важливих пристроїв, щоб запобігти несанкціонованим змінам або доступу до налаштувань. У цій статті ми розглянемо, як налаштувати захист паролем у GRUB, а також як дозволити завантаження без пароля для авторизованих користувачів.

Чому захист GRUB є важливим?

Через GRUB можна отримати доступ до кореневого облікового запису системи або завантажити систему в режимі відновлення, що дозволяє змінювати важливі налаштування. Без належного захисту це може створити серйозний ризик безпеки. Захист GRUB допоможе обмежити доступ до завантаження системи і зменшить ризик несанкціонованого втручання.

Налаштування пароля для захисту GRUB

Для захисту GRUB паролем, вам потрібно буде згенерувати пароль і додати його в конфігурацію завантажувача. Нижче наведено основні кроки:

Крок 1: Генерація пароля для GRUB

Відкрийте термінал і виконайте команду для генерації пароля:

sudo grub-mkpasswd-pbkdf2

Після введення команди вам буде запропоновано ввести пароль для захисту. Система виведе хешований пароль, який ми будемо використовувати для конфігурації.

Результат виглядатиме приблизно так:

PBKDF2 hash of your password is grub.pbkdf2.sha512.<хеш пароля>

Скопіюйте цей хеш для використання в наступному кроці.

Крок 2: Додавання пароля до файлу налаштувань GRUB

Відкрийте конфігураційний файл GRUB для редагування:

sudo nano /etc/grub.d/40_custom

Додайте наступний код:

set superusers="admin"
password_pbkdf2 admin grub.pbkdf2.sha512.<хеш пароля>

Замініть <хеш пароля> на хеш, який ви отримали в попередньому кроці, а admin — на бажане ім’я користувача для доступу до GRUB.

Крок 3: Оновлення конфігурації GRUB

Після внесення змін до конфігурації потрібно оновити завантажувач:

sudo update-grub

Ця команда згенерує новий конфігураційний файл з вашими змінами. Тепер при спробі змінити налаштування завантаження вам буде запропоновано ввести ім’я користувача і пароль.

Дозволення завантаження без пароля для звичайних користувачів

Щоб спростити процес завантаження для довірених користувачів, можна налаштувати GRUB так, щоб він вимагав пароль лише при зміні параметрів завантаження або доступі до режиму відновлення, але дозволяв завантаження операційної системи без пароля

Додайте директиву —unrestricted для потрібних пунктів завантаження в конфігурації GRUB:

Відкрийте файл /etc/grub.d/10_linux та додайте опцію --unrestricted до запису меню

CLASS="--class gnu-linux --class gnu --class os"

Наприклад: CLASS=”–class gnu-linux –class gnu –class os –unrestricted”

CLASS="--class gnu-linux --class gnu --class os --unrestricted"

Після змін знову оновіть GRUB:

sudo update-grub

Після цього основний процес завантаження буде доступний для всіх, але спроба змінити конфігурацію або перейти в режим відновлення потребуватиме пароля.