GNU/Linux >> Linux の 問題 >  >> Cent OS

CentOS / RHEL 7 :GRUB2 メニュー エントリをパスワードで保護する方法

なぜ Linux ブートローダーにパスワード保護が必要なのですか?

Linux ブートローダーをパスワードで保護する主な理由は次のとおりです。
1.シングル ユーザー モードへのアクセスの防止 – 攻撃者がシングル ユーザー モードで起動できる場合、攻撃者はルート ユーザーになります。
2. GRUB コンソールへのアクセスの防止 – マシンがブート ローダーとして GRUB を使用している場合、攻撃者は GRUB エディター インターフェイスを使用して構成を変更したり、cat コマンドを使用して情報を収集したりできます。
3.安全でないオペレーティング システムへのアクセスの防止 – デュアルブート システムの場合、攻撃者はブート時に、アクセス制御やファイル許可を無視する DOS などのオペレーティング システムを選択できます。

GRUB2 を保護するパスワード

以下の手順に従って、RHEL 7 で GRUB2 をパスワード保護します。
1. –制限なしを削除 メイン CLASS= から /etc/grub.d/10_linux での宣言 file.
これは、sed を使用して

を置き換えることで実行できます。 
# sed -i "/^CLASS=/s/ --unrestricted//" /etc/grub.d/10_linux

2. ユーザーがまだ構成されていない場合は、grub2-setpassword を使用します root ユーザーのパスワードを設定するには:

# grub2-setpassword

これにより、ファイル /boot/grub2/user.cfg が作成されます まだ存在しない場合は、ハッシュされた GRUB ブートローダー パスワードが含まれます。このユーティリティは、単一のルート ユーザーが存在する構成のみをサポートします。
/boot/grub2/user.cfg ファイルの例:

# cat /boot/grub2/user.cfg
GRUB2_PASSWORD=grub.pbkdf2.sha512.10000.CC6F56BFCFB90C49E6E16DC7234BF4DE4159982B6D121DC8EC6BF0918C7A50E8604CA40689A8B26EA01BF2A76D33F7E6C614E6289ABBAA6944ECB2B6DEB2F3CF.4B929016A827C36142CC126EB47E86F5F98E92C8C2C924AD0C98436E4699DF7536894F69BB904FDB5E609B9A5D67E28A7D79E8521C0B0AE6C031589FA0452A21

3. grub2-mkconfig で grub 構成を再作成します:

# grub2-mkconfig -o /boot/grub2/grub.cfg
Generating grub configuration file ...
Found linux image: /boot/vmlinuz-3.10.0-327.el7.x86_64
Found initrd image: /boot/initramfs-3.10.0-327.el7.x86_64.img
Found linux image: /boot/vmlinuz-0-rescue-f9725b0c842348ce9e0bc81968cf7181
Found initrd image: /boot/initramfs-0-rescue-f9725b0c842348ce9e0bc81968cf7181.img
done

4. サーバーを再起動して確認します。 

# shutdown -r now

定義されたすべての grub メニュー エントリは、起動時に毎回ユーザーとパスワードを入力する必要があることに注意してください。これ以降、コンソールからユーザーが直接介入しない限り、システムはカーネルを起動しません。ユーザーの入力を求められたら、「root」と入力します。パスワードの入力を求められたら、grub2-setpassword コマンドに渡されたものを入力します:

パスワード保護を解除

パスワード保護を解除するには、–unrestricted を追加します メイン CLASS= のテキスト /etc/grub.d/10_linux での宣言 もう一度ファイルします。もう 1 つの方法は、ハッシュ化された GRUB ブートローダー パスワードを格納する /boot/grub2/user.cfg ファイルを削除することです。

GRUB メニュー エントリの編集のみを制限する

(メニュー エントリを完全にロックするのではなく) ユーザーが grub コマンド ラインに入ってメニュー エントリを編集できないようにするだけの場合は、grub2-setpassword を実行するだけで済みます。 コマンド。


Cent OS

  1. CentOS 7 /RHEL7にMySQL8.0/5.7をインストールする方法

  2. 忘れたルートパスワードをリセットする方法RHEL/CentOS 7

  3. Linux で Grub ブートローダーをパスワード保護する方法

  1. CentOS / RHEL 7 :GRUB2 引数を grubby で変更する方法

  2. CentOS/RHEL でパスワード アルゴリズムを切り替える方法

  3. GRUB メニュー CentOS/RHEL 6 でカスタム カーネル名を表示する方法

  1. RHEL 8 /CentOS8にphpMyAdminをインストールする方法

  2. RHEL 8 /CentOS8にP7Zipをインストールする方法

  3. CentOS / RHEL :パスワードハッシュアルゴリズムを変更する方法