¶ Как поставить пароль на загрузчик Grub
Для дополнительной защиты компьютера имеет смысл поставить пароль на доступ к загрузчику Grub. Это можно сделать путём создания дополнительного пользователя.
¶ Установка пароля на Grub
- Сгенерируем хэш пароля. Откройте терминал и введите в нём команду
grub-mkpasswd-pbkdf2
Затем введите новый пароль для grub, повторите ввод этого же пароля для подтверждения.
После ввода пароля терминал выдаст вам сгенерированный кэш пароля. Его необходимо скопировать и куда-нибудь сохранить, например в отдельный текстовый файл. На нижеприведенном снимке кэш выделен целиком, выделите его у себя, нажмите правую кнопку мыши и скопируйте.
- Теперь нужно назначить суперпользователя для grub через конфигурационный файл. Введите в терминале команду
sudo gedit /etc/grub.d/00_header
Откроется текстовый редактор с файлом конфигурации. Промотайте его в самый низ и добавьте следующие строки:
cat << EOF set superusers="имя_пользователя" password_pbkdf2 имя_пользователя хэш_пароля
Где "имя_пользователя" - желаемое имя пользователя на английской раскладке, "хэш_пароля" - скопированный ранее хэш пароля целиком. Должно получиться как на нижеприведенном снимке экрана. Обратите внимание, что хэш вставляется в ту же строку, что и имя_пользователя, переноса на следующую строку быть не должно. Определить, был ли перенос или нет в gedit можно по наличию или отсутствию номера перед строкой.
- Сохраните файл, закройте его и введите в терминале команду
sudo update-grub
После этого перезагрузитесь, можно из терминала командой reboot, можно через меню. Если все сделано правильно, то при загрузке после выбора операционной системы вы увидите запрос имени пользователя и пароля.
Введите имя суперпользователя, которого вы создали на предыдущем этапе, нажмите энтер, введите пароль. Пароль при вводе на экране не показывается из соображений безопасности.
¶ Активация входа без пароля
Мы защитили наш загрузчик от несанкционированного доступа, но вход по паролю может быть неудобен. Его можно отключить, чтобы пароль защищал загрузчик от редактирования и других форм вмешательства, не затрудняя вход в систему.
- Откройте файл конфигурации командой в терминале:
sudo gedit /etc/grub.d/10_linux
Найдите в нём строкуCLASS="--class gnu-linux --class gnu --class os"как на снимке ниже
И добавьте в конец строки опцию--unrestrictedперед закрывающей кавычкой
Сохраните файл и закройте его. - Ещё раз обновите конфигурацию Grub командой
sudo update-grub
После перезагрузки запроса пароля на вход в Grub, однако для редактирования загрузчика всё ещё придётся использовать созданный вами пароль, либо редактировать его от имени другого суперпользователя (администратора).