Загрузчик; безопасный режим
Модератор: Bizdelnick
-
lershar
- Сообщения: 36
Загрузчик; безопасный режим
Здравствуйте! После установки установки мандривы загрузчик предлагает войти в дистриб в обычном и безопасном режиме, при входе в безопасном режиме не спрашивается ни какого пароля, как я понимаю там можно творить что хочешь. Возможно ли как то обезопаситься от этого?
-
allez
- Сообщения: 2223
- Статус: Не очень злой админ :-)
- ОС: SuSE, CentOS, FreeBSD, Windows
Re: Загрузчик; безопасный режим
Закомментируйте в конфиге загрузчика строки, соответствующие безопасному режиму либо установите пароль на загрузку в этом режиме.
-
nesk
- Сообщения: 2268
- Статус: Линукссаксовец
- ОС: MS Windows XP Home SP3
Re: Загрузчик; безопасный режим
lershar писал(а): ↑26.03.2009 15:39Здравствуйте! После установки установки мандривы загрузчик предлагает войти в дистриб в обычном и безопасном режиме, при входе в безопасном режиме не спрашивается ни какого пароля, как я понимаю там можно творить что хочешь. Возможно ли как то обезопаситься от этого?
удалить саму строчку из меню загрузки можно легко (редактируй /boot/grub/menu.lst или проще через drakconf)
но это полумера.
надо поставить пароль на загрузчик и пароль на биос, но это так же полностью не решит всех возможных проблем.
Внимание: У меня под рукой нет машины с Linux. Я не использую эту ОС. Ответы я даю либо по памяти, либо мне помогает гугл. Тщательно читайте маны по тем командам и конфигурационным файлам, которые я упоминаю.
0xDEFEC8ED
0xDEFEC8ED
-
Rootlexx
- Бывший модератор
- Сообщения: 4471
- Статус: GNU generation
- ОС: Debian GNU/Linux
Re: Загрузчик; безопасный режим
lershar
Ну, можно просто удалить эту строку из меню загрузчика, тем не менее, если можно передать ядру произвольные параметры, это не поможет. Поэтому:
1. Чтобы в режиме single (aka «failsafe») система спрашивала пароль root, проделайте следующее: откройте «Настройку компьютера», вкладка «Безопасность», «Настройка уровня безопасности системы». Далее вкладка «Системные опции», «Sulogin в однопользовательском режиме» установить в «Да».
2. Для запрета передачи произвольных параметров ядру системы нужно отключить графический режим загрузчика (ибо он не поддерживает ввод пароля) и назначить пароль. Для этого редактируется файл /boot/grub/menu.lst. Нужно:
2.1. Удалить или закомментировать строку с «gfxmenu».
2.2. Выполнить отдельно в консоли команду «grub-md5-crypt» (от root), ввести дважды будущий пароль.
2.3. То, что предыдущая команда вывела на экран, — это хэш пароля. В указанный файл в первую строчку (необязательно, но так проще) вставить:
Всё, теперь для добавления парамтеров ядра придётся нажать в загрузчике «p», а затем ввести пароль.
Ещё можно после хэша пароля указать путь к файлу альтернативного меню, которое будет показываться после ввода пароля. У меня — /boot/grub/menu-admin.lst (создавал сам).
Для примера приведу своё содержимое упомянутых файлов:
menu.lst:
menu-admin.lst:
Ну, можно просто удалить эту строку из меню загрузчика, тем не менее, если можно передать ядру произвольные параметры, это не поможет. Поэтому:
1. Чтобы в режиме single (aka «failsafe») система спрашивала пароль root, проделайте следующее: откройте «Настройку компьютера», вкладка «Безопасность», «Настройка уровня безопасности системы». Далее вкладка «Системные опции», «Sulogin в однопользовательском режиме» установить в «Да».
2. Для запрета передачи произвольных параметров ядру системы нужно отключить графический режим загрузчика (ибо он не поддерживает ввод пароля) и назначить пароль. Для этого редактируется файл /boot/grub/menu.lst. Нужно:
2.1. Удалить или закомментировать строку с «gfxmenu».
2.2. Выполнить отдельно в консоли команду «grub-md5-crypt» (от root), ввести дважды будущий пароль.
2.3. То, что предыдущая команда вывела на экран, — это хэш пароля. В указанный файл в первую строчку (необязательно, но так проще) вставить:
Код: Выделить всё
password --md5 хэш_пароляВсё, теперь для добавления парамтеров ядра придётся нажать в загрузчике «p», а затем ввести пароль.
Ещё можно после хэша пароля указать путь к файлу альтернативного меню, которое будет показываться после ввода пароля. У меня — /boot/grub/menu-admin.lst (создавал сам).
Для примера приведу своё содержимое упомянутых файлов:
menu.lst:
Код: Выделить всё
timeout 10
color black/cyan yellow/cyan
password --md5 здесь_был_хэш /boot/grub/menu-admin.lst
default 0
title Linux
kernel (hd0,1)/boot/vmlinuz BOOT_IMAGE=Linux root=UUID=6e12444c-1428-11de-ac74-7b7ff26c6490 resume=UUID=6ffa0042-1428-11de-8519-171eb9903c80 vga=788
initrd (hd0,1)/boot/initrd.img
title Windows
root (hd0,0)
makeactive
chainloader +1menu-admin.lst:
Код: Выделить всё
title Linux
kernel (hd0,1)/boot/vmlinuz BOOT_IMAGE=Linux root=UUID=6e12444c-1428-11de-ac74-7b7ff26c6490 resume=UUID=6ffa0042-1428-11de-8519-171eb9903c80 vga=788
initrd (hd0,1)/boot/initrd.img
title Linux (console)
kernel (hd0,1)/boot/vmlinuz BOOT_IMAGE=Linux_(console) root=UUID=6e12444c-1428-11de-ac74-7b7ff26c6490 resume=UUID=6ffa0042-1428-11de-8519-171eb9903c80 vga=788 3
initrd (hd0,1)/boot/initrd.img
title Linux (failsafe)
kernel (hd0,1)/boot/vmlinuz BOOT_IMAGE=Linux_(failsafe) root=UUID=6e12444c-1428-11de-ac74-7b7ff26c6490 failsafe
initrd (hd0,1)/boot/initrd.img
title Windows
root (hd0,0)
makeactive
chainloader +1