Оглавление |
---|
Предупреждение |
---|
В общем случае, после внесения изменений в конфигурационные файлы загрузчика (файл /etc/default/grub или файлы /etc/grub.d/*) При этом будет переписан файл /boot/grub/grub.cfg, соответственно все внесённые в него изменения будут утеряны. |
Информация | ||
---|---|---|
| ||
|
Установка и изменение пароля на загрузчик
Информация |
---|
Системный загрузчик GRUB2 поддерживает возможность задания паролей в открытом виде. В данной инструкции предлагается более безопасный способ задания пароля в виде хеша. В любом случае, рекомендуется максимально ограничить доступ к файлу с паролем . |
Для смены пароля системного загрузчика необходимо сгенерировать хеш нового пароля и заменить им старый:
Для генерации хеша выполнить команду и дважды ввести новый пароль:
Command |
---|
grub-mkpasswd-pbkdf2 |
Полученный хеш (начиная со слова grub) скопировать в буфер (например, выделив его с помощью мыши, и нажав правую кнопку мыши выбрать "копировать").
Открыть в редакторе с правами суперпользователя файл /etc/grub.d/07_password (в Astra Linux Special Edition он уже существует, в Astra Linux Common Edition при первой установке пароля откроется пустой файл).
Например, для редактирования с помощью встроенного редактора с графическим интерфейсом kate можно воспользоваться командой:
Command |
---|
sudo kate /etc/grub.d/07_password |
В результате редактирования должен получиться текст вида:
Информация |
---|
#!/bin/bash cat << EOF |
Цветом условно обозначены имя пользователя (красный) и ранее сгенерированный кеш (зелёный), в редакторе никаких цветов нет.
Сохранить файл, и выйти из редактора.
В Astra Linux Common Edition при первой установке пароля исправить права доступа к созданному новому файлу, разрешив его выполнение:
Command |
---|
sudo chmod 700 /etc/grub.d/07_password |
Для того, чтобы эти изменения вступили в силу обновить загрузчик командой:
Command |
---|
sudo update-grub |
Информация |
---|
Возможно отключить запрос пароля grub, например для записи Windows. Для этого в /boot/grub/grub.cfg где --class os добавить --unrestricted |
Запрет загрузки в режиме восстановления. Таймаут ожидания выбора при загрузке.
Для того, чтобы запретить варианты загрузки в режиме восстановления, нужно с правами суперпользователя открыть в редакторе файл /etc/default/grub:
Command |
---|
sudo kate /etc/default/grub |
раскомментировать строку
Информация |
---|
GRUB_DISABLE_RECOVERY="true" |
Дополнительно, в этом же файле можно уменьшить время ожидания при выборе варианта загрузки (по умолчанию - 5 секунд), например, совсем скрыв меню (в таком случае в меню НЕЛЬЗЯ будет попасть, зажав при загрузке клавишу Shift, и возможности выбора ОС/ядра не будет):
Информация |
---|
GRUB_TIMEOUT=0 |
Для скрытия загрузчика с сохранением возможности переключения клавишей Shift на этап выбора ОС/ядра к параметру GRUB_TIMEOUT=0 добавить GRUB_HIDDEN_TIMEOUT=5:
Информация |
---|
GRUB_TIMEOUT=0 GRUB_HIDDEN_TIMEOUT=5 |
Сохранить изменения, выйти из редактора.
Для того, чтобы эти изменения вступили в силу обновить загрузчик командой:
Command |
---|
sudo update-grub |
Пункты меню, позволяющие выбрать для загрузки режим восстановления, можно убрать из меню и путём редактирования файла /boot/grub/grub.cfg (см. ниже, но эти изменения не будут сохраняться после выполнения команды обновления загрузчика update-grub.
Запрет выбора загрузки ядра GENERIC
Для того, чтобы запретить все варианты загрузки, кроме варианта HARDENED , нужно с правами суперпользователя открыть в редакторе файл /boot/groobgrub/grub/grub.cfg:
Command |
---|
sudo kate /boot/grub/grub.cfg |
И закомментировать ненужные пункты меню, т.е. блоки кода, начинающиеся с menuentry, например:
Информация |
---|
#menuentry 'AstraLinuxCE GNU/Linux, с Linux 4.15.3-1-generic' --class astralinuxce --class gnu-linux --class gnu --class os --unrestricted $menuentry_id_option 'gnulinux-4.15.3-1-generic-advanced-f923f219-185e-4747-9066-6b09fd0103ae' { |
Предупреждение |
---|
Эти изменения не будут сохраняться после выполнения команды обновления загрузчика update-grub, но лучше способа пока нет. |