Perché un boot loader Linux dovrebbe avere la protezione tramite password?
I seguenti sono i motivi principali per la protezione con password di un boot loader Linux:
1. Impedire l'accesso alla modalità utente singolo – Se un utente malintenzionato può eseguire l'avvio in modalità utente singolo, diventa l'utente root.
2. Impedire l'accesso alla console di GRUB – Se la macchina utilizza GRUB come caricatore di avvio, un utente malintenzionato può utilizzare l'interfaccia dell'editor di GRUB per modificare la sua configurazione o per raccogliere informazioni utilizzando il comando cat.
3. Prevenire l'accesso a sistemi operativi non sicuri – Se si tratta di un sistema dual-boot, un utente malintenzionato può selezionare al momento dell'avvio un sistema operativo, come DOS, che ignora i controlli di accesso e le autorizzazioni dei file.
1. Configurazione di GRUB2 per richiedere una password solo per la modifica delle voci
Per richiedere l'autenticazione tramite password per modificare le voci di GRUB 2, segui questi passaggi:
1. Esegui il comando grub2-setpassword come root:
# grub2-setpassword Enter password: Confirm password:
2. Immettere e confermare la password. Questo è tutto ciò che c'è da fare. L'hash della password verrà archiviato in /boot/grub2/user.cfg file in formato crittografato.
3. Con questa modifica, la modifica di una voce di avvio durante l'avvio richiede di specificare le credenziali.
2. Configurazione di GRUB 2 per richiedere una password per la modifica e l'avvio delle voci
Per richiedere la password anche per l'avvio di una voce, segui questi passaggi dopo aver impostato la password con grub2-setpassword:
1. Apri /boot/grub2/grub.cfg file.
2. Trova la voce di avvio che desideri proteggere con password cercando le righe che iniziano con la voce di menu.
3. Elimina il –senza restrizioni parametro dal blocco voci di menu.
4. Salva e chiudi il file.