Como Proteger com Senha o Boot Loader do Ubuntu
O gerenciador de inicialização do Ubuntu Grub permite que qualquer um edite entradas de inicialização ou use seu modo de linha de comando por padrão. Grub seguro com uma senha e ninguém pode editá-los - você pode até mesmo exigir uma senha antes de inicializar sistemas operacionais.
As opções de configuração do Grub 2 são divididas em vários arquivos, em vez do único arquivo menu.lst usado no Grub 1, portanto, a configuração de uma senha tornou-se mais complicada. Estas etapas se aplicam ao Grub 1.99, usado no Ubuntu 11.10. O processo pode ser diferente em versões futuras.
Gerando um hash de senha
Primeiro, vamos abrir um terminal do menu de aplicativos do Ubuntu.
Agora vamos gerar uma senha ofuscada para os arquivos de configuração do Grub. Apenas digite grub-mkpasswd-pbkdf2 e pressione Enter. Ele pedirá uma senha e lhe dará uma longa string. Selecione a string com o mouse, clique com o botão direito do mouse nela e selecione Copiar para copiá-la para a área de transferência para mais tarde.
Esta etapa é tecnicamente opcional - podemos inserir nossa senha em texto simples nos arquivos de configuração do Grub, mas esse comando ofusca-a e fornece segurança adicional.
Definindo uma senha
Tipo sudo nano /etc/grub.d/40_custom para abrir o arquivo 40_custom no editor de texto Nano. Este é o lugar onde você deve colocar suas próprias configurações personalizadas. Eles podem ser sobrescritos por versões mais recentes do Grub se você adicioná-los em outro lugar.
Role para baixo até o final do arquivo e adicione uma entrada de senha no seguinte formato:
set superusers = "nome"
password_pbkdf2 name [long string de antes]
Aqui nós adicionamos um superusuário chamado "bob" com nossa senha anterior. Nós também adicionamos um usuário chamado jim com uma senha insegura em texto simples.
Note que Bob é um superusuário enquanto Jim não é. Qual é a diferença? Os superusuários podem editar as entradas de inicialização e acessar a linha de comando do Grub, enquanto os usuários normais não podem. Você pode atribuir entradas de inicialização específicas a usuários normais para fornecer acesso.
Salve o arquivo pressionando Ctrl-O e Enter e pressione Ctrl-X para sair. Suas alterações não serão efetivadas até você executar o sudo update-grub comando; veja a seção Activating Your Changes para mais detalhes.
Senha Protegendo Entradas de Inicialização
Criando um superusuário nos leva a maior parte do caminho. Com um superusuário configurado, o Grub impede automaticamente que as pessoas editem entradas de inicialização ou acessem a linha de comando do Grub sem uma senha..
Deseja proteger com senha uma entrada de inicialização específica para que ninguém possa inicializá-la sem fornecer uma senha? Nós podemos fazer isso também, embora seja um pouco mais complicado no momento.
Primeiro, precisamos determinar o arquivo que contém a entrada de inicialização que você deseja modificar. Tipo sudo nano /etc/grub.d/ e pressione Tab para exibir uma lista dos arquivos disponíveis.
Digamos que queremos proteger nossos sistemas Linux com senha. As entradas de inicialização do Linux são geradas pelo arquivo 10_linux, portanto, usaremos sudo nano /etc/grub.d/10_linux comando para abri-lo. Tenha cuidado ao editar este arquivo! Se você esquecer sua senha ou digitar uma senha incorreta, você não poderá inicializar no Linux, a menos que você inicialize a partir de um live CD e modifique sua configuração do Grub primeiro..
Este é um arquivo longo com muitas coisas acontecendo, então vamos pressionar Ctrl-W para procurar a linha que queremos. Tipo menuentry no prompt de pesquisa e pressione Enter. Você verá uma linha começando com printf.
Apenas mude o
printf “menuentry '$ title'
bit no início da linha para:
printf “menuentry -users name '$ title”
Aqui nós fornecemos o acesso de Jim às nossas entradas de inicialização do Linux. Bob também tem acesso, já que ele é um super usuário. Se especificássemos "bob" em vez de "jim", Jim não teria acesso algum.
Pressione Ctrl-O e Enter, depois Ctrl-X para salvar e fechar o arquivo depois de modificá-lo.
Isso deve ficar mais fácil com o tempo, pois os desenvolvedores do Grub adicionam mais opções ao comando grub-mkconfig.
Ativando suas alterações
Suas alterações não serão efetivadas até você executar o sudo update-grub comando. Este comando gera um novo arquivo de configuração do Grub.
Se você protegeu por senha a entrada de inicialização padrão, você verá um prompt de login quando iniciar o computador.
Se o Grub estiver configurado para exibir um menu de inicialização, você não poderá editar uma entrada de inicialização ou usar o modo de linha de comando sem inserir a senha de um superusuário.