12.14. Защита системных файлов паролем GRUB

Проблема
Вы не хотите, чтобы пользователи могли работать с командной консолью GRUB,
потому что они получат доступ ко всем системным файлам независимо от разре шений и привилегий.
Решение
Задайте пароль в menu.1st, чтобы ограничить использование командной консоли
GRUB.
Сначала в Bash сгенерируйте хешированный пароль командой grub-md5-crypt:
# grub-md5-crypt
Password:
Retype password:
$l$RiAfJO$QTuAlS/BGqlkYHQADZejsl
Вставьте зашифрованный пароль в секцию глобальных параметров menu.1st
перед загрузочными строфами:
password --md5 $l$RiAfJO$QTuAlS/BGql kYHQADZejsl
Также можно использовать простой текстовый пароль:
password bigsecretpassword
Конечно, этот вариант менее надежен. Если вы используете простой тексто вый пароль, ограничьте доступ к файлу и разрешите его только root:
# chmod 600 menu.1st
Когда во время загрузки системы появится меню GRUB, нажмите клавишу р,
чтобы ввести пароль и получить доступ к командной консоли. Пользователи, не
знающие пароля, смогут только выбрать один из пунктов меню загрузки; команд ная консоль GRUB останется для них недоступной.
Комментарий
Разрешения на доступ к файлам являются атрибутами файловой системы. GRUB
работает вне файловых систем, поэтому каждый, кто имеет доступ к командной
консоли GRUB, сможет прочитать любой файл в системе.
Даже если вы потеряете пароль GRUB, это еще не катастрофа. Загрузите сис тему с диска аварийного восстановления и отредактируйте файл menu.Lst. В этом
проявляется старый принцип безопасности в Unix: «При наличии физического
доступа к компьютеру с ним можно делать все, что угодно».
См. также
The Grub Manual (http://www.gnu.org/software/manual/grub.html); info grub.