12.15. Защита отдельных пунктов меню GRUB

Проблема

Меню GRUB состоит из нескольких пунктов. Вы не хотите, чтобы каждый пользователь мог выбрать любой пункт; некоторые пункты меню должны оставаться недоступными для пользователей.

Решение

Установите пароль GRUB (см. раздел 12.14), а затем включите команду lock в menu.lst: 

title Libranet GNU/Linux, kernel 2.4.21. single user mode
lock
root (hd0,0)
kernel /boot/vmlinuz-2.4.21 root=/dev/hda1 ro single

GRUB читает menu.lst последовательно, поэтому все строки после команды lock становятся недоступными для пользователей, не знающих пароля. При попытке загрузить заблокированный пункт меню будет выдано следующее сообщение об ошибке: 

Error 32: Must be authenticated

Желательно сообщить пользователям, к каким пунктам меню ограничен доступ. Например, вы можете настроить отображение сообщения: 

Libranet GNU/Linux, kernel 2.4.21. single user mode, AUTHENTICATION REQUIRED

Комментарий

Пароли GRUB и команда lock особенно полезны на общих рабочих станциях — например, в учебных залах, лабораториях и на рабочих местах. Однако, любой пользователь, обладающий физическим доступом к компьютеру, может использовать загрузочный диск аварийного восстановления и получить неограниченный доступ. Чтобы этого избежать, можно запретить использование аварийных дисков в программе настройки BIOS, но не забывайте, что существует множество других загрузочных устройств: дискеты, компакт-диски, устройства USB, Jaz/Zip, Ethernet Wake-on-LAN, SuperDisk и другие.

Для более надёжной защиты рекомендуется установить пароль на вход в BIOS, чтобы предотвратить несанкционированные изменения настроек. Это особенно важно на публичных компьютерах, где любой человек может получить физический доступ к оборудованию. Без пароля на BIOS злоумышленник сможет легко обойти все меры безопасности, используя альтернативные загрузочные устройства.

Однако даже с защищённым BIOS существует риск, что некоторые устройства могут быть использованы для загрузки системы без авторизации. Поэтому, помимо пароля BIOS, стоит рассмотреть дополнительные методы защиты, такие как блокировка загрузки с внешних устройств или отключение ненужных интерфейсов в BIOS.

Установка защиты с помощью GRUB может показаться простым решением, но её нужно применять в комплексе с другими мерами безопасности, чтобы обеспечить максимальный уровень защиты от несанкционированного доступа. Важно помнить, что системы защиты на программном уровне могут быть неэффективными при наличии физического доступа к компьютеру, поэтому защита BIOS и контроль физического доступа к устройствам должны быть приоритетными мерами.

См. также

The Grub Manual (http://www.gnu.org/software/manual/grub.html); info grub.