Оглавление |
---|
Предупреждение |
---|
В общем случае, после внесения изменений в конфигурационные файлы загрузчика (файл /etc/default/grub или файлы /etc/grub.d/*) При этом будет переписан файл /boot/grub/grub.cfg, соответственно все внесённые внесенные в него изменения будут утеряны. |
Информация | ||
---|---|---|
| ||
|
Установка и изменение пароля на загрузчик
Информация |
---|
Системный загрузчик GRUB2 поддерживает возможность задания паролей в открытом виде. В данной инструкции предлагается более безопасный способ задания пароля в виде хеша. В любом случае, рекомендуется максимально ограничить доступ к файлу с паролем . |
Для смены пароля системного загрузчика необходимо сгенерировать хеш нового пароля и заменить им старый хеш:
Для генерации хеша выполнить команду и дважды ввести новый пароль:
Command grub-mkpasswd-pbkdf2 Полученный хеш (начиная со слова grub) скопировать в буфер (например, выделив его с помощью мыши, и нажав правую кнопку мыши выбрать "копировать")
;
Открыть в редакторе с правами суперпользователя файл /etc/grub.d/07_password (
создать такой файл, если его нет). Например, для редактирования с помощью
редактора
nano можно воспользоваться командой:
Command sudo
nano /etc/grub.d/07_password В результате редактирования должен получиться текст вида:
Информация #!/bin/bash
cat << EOF
set superusers="username"
password_pbkdf2 username grub.pbkdf2.sha512.10000.9C319610666...........
EOFЦветом условно обозначены имя пользователя (красный) и
сгенерированный кеш (
зеленый), в реальном редакторе
цветовых обозначений нет.
Сохранить файл, и выйти из
В Astra Linux Common Edition при первой установке пароля исправить
редактора (для редактора nano - Ctrl+x - Y - Enter);
Установить права доступа к созданному новому файлу, разрешив его выполнение:
Command sudo chmod 700 /etc/grub.d/07_password Для того, чтобы
сделанные изменения вступили в силу обновить загрузчик командой:
Command sudo update-grub Информация Возможно отключить запрос пароля grub, например для записи Windows. Для этого в /boot/grub/grub.cfg где --class os добавить --unrestricted
Запрет загрузки в режиме восстановления. Таймаут ожидания выбора при загрузке.
Для того, чтобы запретить варианты загрузки в режиме восстановления, нужно с :
С правами суперпользователя открыть в редакторе файл /etc/default/grub:
Command sudo
nano /etc/default/grub
Раскомментировать строку:
Информация GRUB_DISABLE_RECOVERY="true" Дополнительно
в этом же файле можно уменьшить время ожидания при выборе варианта загрузки (по умолчанию - 5 секунд), например, совсем скрыв меню (в таком случае в меню НЕЛЬЗЯ будет попасть, зажав при загрузке клавишу Shift, и возможности выбора ОС/ядра не будет):
Информация GRUB_TIMEOUT=0 Для скрытия загрузчика с сохранением возможности переключения клавишей Shift на этап выбора ОС/ядра к параметру GRUB_TIMEOUT=0 добавить GRUB_HIDDEN_TIMEOUT=5:
Информация GRUB_TIMEOUT=0
GRUB_HIDDEN_TIMEOUT=5Сохранить изменения, выйти из редактора
;
Для того, чтобы эти изменения вступили в силу обновить загрузчик командой:
Command sudo update-grub
Пункты меню, позволяющие выбрать для загрузки режим восстановления, можно убрать из меню и путём путем редактирования файла /boot/grub/grub.cfg (см. ниже, но эти изменения не будут сохраняться после выполнения команды обновления загрузчика update-grub.
Запрет выбора загрузки ядра GENERIC
Для того, чтобы запретить все варианты загрузки, кроме варианта HARDENED , нужно с :
С правами суперпользователя открыть в редакторе файл /boot/grub/grub/grub.cfg:
Command sudo
nano /boot/grub/grub.cfg
Закомментировать ненужные блоки кода, начинающиеся с menuentry, например:
Информация #menuentry 'AstraLinuxCE GNU/Linux, с Linux 4.15.3-1-generic' --class astralinuxce --class gnu-linux --class gnu --class os --unrestricted $menuentry_id_option 'gnulinux-4.15.3-1-generic-advanced-f923f219-185e-4747-9066-6b09fd0103ae' {
# load_video
# insmod gzio
# if [ x$grub_platform = xxen ]; then insmod xzio; insmod lzopio; fi
# insmod part_msdos
# insmod ext2
# set root='hd0,msdos1'
# if [ x$feature_platform_search_hint = xy ]; then
# search --no-floppy --fs-uuid --set=root --hint-bios=hd0,msdos1 --hint-efi=hd0,msdos1 --hint-baremetal=ahci0,msdos1 f923f219-185e-4747-9066-6b09fd0103ae
# else
# search --no-floppy --fs-uuid --set=root f923f219-185e-4747-9066-6b09fd0103ae
# fi
# echo 'Загружается Linux 4.15.3-1-generic …'
# linux /boot/vmlinuz-4.15.3-1-generic root=UUID=f923f219-185e-4747-9066-6b09fd0103ae ro quiet net.ifnames=0
# echo 'Загружается начальный виртуальный диск …'
# initrd /boot/initrd.img-4.15.3-1-generic
#}
Предупреждение |
---|
Эти изменения не будут сохраняться после выполнения команды обновления загрузчика update-grub, но лучше способа пока нет. |