init lecserélésének preventálása GRUB-ban

 ( TCH | 2019. március 8., péntek - 19:17 )

Adott egy gép, feljön rajta a GRUB, ha 'e'-t nyomunk, akkor lehet szerkeszteni a bejegyzést és beírni a végére, hogy init=/bin/bash és így meg lehet kerülni a logint és rootként belépni a rendszerbe.

Rákerestem, hogy ezt hogy lehet kikapcsolni, de sehol nem írták, csak azt, hogy hogyan lehet lejelszavazni. De ennek a gépnek fel kell bootolnia jelszó nélkül, tehát a GRUB lejelszavazása nem megoldás.

Ha le lehetne tiltani az egész GRUB menüt, az is jó lenne, de azt írták, ha a timeoutot nullára is állítom, vagy bekapcsolom a hidden opciót, a shiftre való tehénkedéssel akkor is fel lehet hozni a menüt.

Bármilyen ötlet jöhet, a lényeg, hogy a gép továbbra is fel tudjon bootolni magától, viszont ne tudják szerkeszteni a kernel paramétereket.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Ja, azt elfelejtettem írni, hogy a lejelszavazásnál ugyan van lehetőség arra, hogy egy entry unrestricted legyen, de akkor a szerkesztés is megy vele...

https://askubuntu.com/a/657043
ha nem tul regi a grub menni fog

Leírtam, hogy a lejelszavazás nem jó, mert be kell bootolnia jelszó nélkül.

a lejelszavazasnak is van opcioja csak menu editre, tehat be lehet bootolni password nelkul, de edit nem fog menni.

És az hogyan lehet beállítani? Ez a leírás nem ír róla egy szót sem, hogy lehetne csak az editet jelszavazni. Csak azt írja, hogy ha be van állítva a password, akkor csak a superuser tud 'e'-vel vagy 'c'-vel funkciókat előhívni, de azt nem írja, hogy a boot passwordless lesz.

az lesz, csinalsz egy superusert es kesz. nalam mukodik, most probaltam ki centos7 grub2-vel.

Én meg Debian 9-cel, beállítottam usert, password-öt és a boot is kérte a jelszót.

De, írja:

Idézet:
The presence of --unrestricted disables password protection.

De itt https://www.gnu.org/software/grub/manual/grub/html_node/Authentication-and-authorisation.html van jobb: superusers="" letiltja a CLI-t és az editort (Setting ‘superusers’ to empty string effectively disables both access to CLI and editing of menu entries. )

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Igazad van, az unrestricted a bootot engedi, a szerkesztést, parancssort nem, köszi. A superusers="" viszont a bootot is levédi.

grub forrsakod letolt, modosit, lefordit, telepit.

Csak utolsó lehetőségként, jó lenne a mainline-nal kompatibilisnek maradni.

Mi a cél? Ha rosszakaródnak fizikai hozzáférése van a géphez, ki tudja kerülni a te grubodat, semmivel sem tudod visszatartani.

Ja, de azért az nem mindegy, hogy a rosszalkodónak csak a billhez van könnyű hozzáférése, vagy a gép többi részéhez is: mondjuk egy kiosk esetén.

Tudom. De ez a feladat. Hogy aki valahol a laikus és a szakember között van, az se tudjon hozzáférni. A BIOS is password-özve lesz és az USB boot pedig letiltva. A gép le van "pecsételve", az látszani fog, ha valaki kinyitotta, tehát észrevétlenül a háttértárat nem tudják kivenni.