До чого такий вступ? Почасти мені стало шкода тих адмінів, які займаються там цими станціями, які уразливі настільки, що навіть дитина може вивести її з ладу без проблем. Однак це змусило мене задуматися, а наскільки добре захищена моя Linux система? Зрозуміло, що віруси тут безсилі.
Однак по мимо вірусів, є ще люди. А так як я часто працюю в відкритих Wi-Fi мережах, і на моїй машині крутитися відразу SSH, SAMBA, FTP, http сервера моя система може бути атакована із зовні, використовуючи відомі уразливості.
Що таке Grub?
GR and U nified B oot Loader - програма-завантажувач для UNIX-подібних операційних систем (GNU / Linux, Solaris, BSD та інші).
Для чого використовується Grub?
Grub - використовується для завантаження операційної системи. Зараз, Grub може завантажити практично будь-яку ОС, наявну на вашому комп'ютері, а також в мережі і на CD / DVD дисках.
Як настроїти Grub?
Grub конфигурируется файлом настройки, в Ubuntu його можна знайти в /boot/grub/menu.lst. Завантажуючись, Grub знаходить цей файл і виконує зазначені в ньому настройки. Так само ви можете настравівать Grub під час завантаження основного меню.
Для чого захищати Grub?
Якщо вам часто доводиться залишати ваш комп'ютер (частіше ноутбук) без нагляду, на робочому місці в офісі або в студентському гуртожитку. Чи не захищений Grub є велику дірку в безпеці. Так як наприклад сторонній зможе завантажитися з Recovery mode і скинути root'овскій пароль.
Як захистити Grub?
Встановити шифрований пароль, без якого буде закритий доступ як до редагування так і до процесу завантаження ОС.
стаємо суперкористувачем
Утиліта для генерації пароля
З'явитися пропозиція ввести пароль, введіть пароль і натисніть Enter.
Ви повинні побачити приблизно наступне:
Скопіюйте отриманий md5-шифр.
Виконайте бекап файлу menu.lst
Відкрийте конфігураційний файл
Расскоментіруйте рядок password замінивши приклад md5-шифру на свій
Далі в секції меню, після команди title можна ставити команду lock - пароль тоді буде запитуватися при виборі цієї позиції меню. Замість lock можна ставити і password, що дає можливість мати різні паролі для різних варіантів завантаження. При цьому у нас повинна бути рядок password в головному блоці.
Ось так це має виглядати
Якщо вам це здалося занадто складним, то виконати всі перераховані вище дії ви зможете за допомогою графічної утиліти StartUp Manager.
Встановити її можна командою
Після установки знайти програму можна "Система" -> "Адміністрування" -> "StartUp Manager"
При запуску, програма зажадає введення пароля.
підсумки
Виконавши дії описані вище, ваш завантажувач буде надійно захищена від стороннього зазіхання. Зловмисник під час вашої відсутності навіть не зможе завантажить систему. А рівень вашої захисту сильно зросте. Давайте порахуємо, що-б порушити цілісність системи локально, зловмисникові доведеться:
1) Ввести пароль в Grub для завантаження ОС.
(На різні ОС і режими ми можемо виставити різні паролі)
2) Після завантаження ОС ввести на екрані запрошення ваш ЛогінПароль.
3) Що-б пошкодити систему ввести в терміналі su і вказати пароль root'a.
Зрозуміло, що такий ланцюжок дій, за умови, що всі три пароля різні, нездійсненна.
Тепер ваш комп'ютер, в абсолютній локальної безпеки.