Защищаем BURG
Если у Вас несколько ОС на ноутбуке или ПК и Вы используете графический загрузчик BURG, то стоит подумать о защите, пототому что через загрузчики (GRUB или GRUB2 в том числе) сущестует возможность сброса пароля админа(суперюзера) юникс-систем...
Итак, приступим... В сети я натыкался на множество инструкций, но большая часть их сводилась к костылям в виде файла 05_password и генерацией хэшей password_pbkdf2 (те кто не в танке прекрасно поняли о чём я). Я решил найти решение, которое будет реализовано стандартными средствами самого BURG, без пременения костылей.
Для начала создадим для BURG суперюзера (он сможет редактировать меню при загрузке и т.д.)
sudo burg-adduser -s admin
Система запросит пароль и его подтвержение, вводим внимательно. Затем система зашифрует данные учётной записи и сохранит в /etc/default/burg-passwd (если что-то пойдёт не так - можно удалить ненужные учётные записи из этого файла).
Можно создать обычного пользователя (редактировать прав нет, но, при соответствующем уровне доступа, может грузить определённые ОС из списка).
sudo burg-adduser user
Далее открываем файл /etc/default/burg, ищем секцию
# Add user with burg-adduser, then use GRUB_USERS to config authentication.
# The following example means user1 can boot Ubuntu, no password is needed to
# boot Windows, user1 amd user2 can boot other OS. Superusers can boot any OS
# and use hotkeys like `c' to enter console mode.
#GRUB_USERS="*=user1,user2:ubuntu=user1:windows="
В принципе, из коментариев уже понятно как создавать правила доступа... Но на всякий случай приведу пару примеров:
1. Все имеют право загружать любую ОС, но не имеют право редактировать варианты загрузки (для 90% случаев это, то что нужно)
GRUB_USERS="*="
2. Допустим, админ имеет право для загрузки linux- и windows-систем, а юзер может грузить только windows (иногда и такое нужно).
GRUB_USERS="ubuntu=admin:windows=admin,user"
Разделителем правил выступает двоеточие. В этом примере всё как я и написал: админ имеет право для загрузки linux- и windows-систем, а юзер может грузить только windows, но даже админ не имеет доступа к режиму восстановления linux (как раз через через него и можно сбросить пароль суперадмина).
3. Теперь ситуация, когда админ и юзер могут грузить linux, но админ будет иметь доступ к загрузке в режиме восстановления.
GRUB_USERS="*ubuntu=admin:ubuntu=user"
После всех манипуляций с учётками не забываем пересобирать конфигурационный файл BURG:
sudo update-burg
Ничего сложного нет. Ubuntu и Windows в правилах - это названия классов ОС в BURG, если вникните - научитесь составлять необходимые Вам правила.
Комментарии (8)
Спасибо автору за статью. Думаю достойна войти в подшивку.
После этого останется только запечатать системник, установить пароль на BIOS и выключить загрузку в оном с других носителей. Вообще. Выпилить. И можно спать спокойно... Ну если всё ещё зашифровано будет....
А то зайдут со своими Live{CD, DVD, USB}, и узнают что я скачал пиратскую винду О_о и 1С! А ещё играю в Need For Speed, а не купил его О_о
Теперь им даже своего ЛивЦД не надо. Ты сам тут обо всем признался. Суши сухари! =)
Ты это всё правильно сказал. Но боюсь, что использование терморектального метода криптоанализа сведёт на нет все эти методологические наработки. ;-)
На данный момент работаю на двух операционных системах Windows ХР и 7, хотелось бы перейти на Kubuntu, многие обьясняют и советуют будто с нею намного легче работать, в чем именно ее преимущество.
Пасьянсов больше.
точно "работаю"?
Если "работаю" - то что именно работаешь, и в чем именно(названия программ) работаешь?
Ребят, хватит оффтопить...
Отправить комментарий