[РЕШЕНО]Как обезопасить пользователя от GRUB2 или гроб с паролем.

[deadrash]

Собственно, есть желание избавить пользователя от соблазна делать нехорошие штуки с загрузкой системы через GRUB2.
данная тема является ответвлением от фака по грубу >GRUB2
Самовыдержка:

Может быть уже обсуждалось, прочитал 18стр. больше осилить не сумел.

У мну на компе есть Ubuntu и оффтопик, мне нужно что бы грузилась Ubuntu по умолчанию и должна имется возможность через пароль управлять загрузкой груба.

Сейчас я имею груб в котором при нажатии "е" я могу вписать любой параметр в загрузку ОСи (например загрузится под рутом в Линукс), причём делается это до сумашествия просто   (недели знакомства с линуксом хватает, что бы узнать, как загрузится в рут из груба).

Лучший вариант, наверное, был-бы пароль на груб, но если его реализовать не получится, тогда минимум, отключение возможности загрузки ОСи с параметром.
Помогите понять как защитить офисный комп от шаловливых рук юзверей.

initrd~ даже не понял как разпаковать  

[Mam(O)n]

Вот, как раз по теме всё расписано на форуме у англоязычной части сообщества: http://ubuntuforums.org/showthread.php?t=1369019

[dimas000]

http://ubuntuforums.org/showthread.php?t=1369019 - вот про пароль на пункты гроба. по дефолту пароль и вовсе задается открытым текстом, но в конце есть и про задание оного в шифрованном виде (фича, как я понимаю, с версии 1.98 или типа того). от дураков поможет, а умный все равно из консоли ручками загрузит как надо.

initrd~ даже не понял как разпаковать

что ж, вкратце попробую описать:
готовим площадку для опытов

Код: [Выделить]

mkdir /tmp/init && cd /tmp/initкопируем инитрд нужной версии (соответствующей текущему ядру)

Код: [Выделить]

cp /boot/initrd-xxxxx .(точку в конце не теряем, вместо xxxx понятно что)
обычно инитрд представляет из себя сжатый gzip'ом cpio-архив. что есть cpio - к википедии. для начала переименуем файл

Код: [Выделить]

mv initrd-xxxxx{,.gz}распакуем gzip

Код: [Выделить]

gunzip initrd-xxxx.gzполучим голый cpio-архив, который и осталось разжать. создадим папочку для содержимого

Код: [Выделить]

mkdir new && cd newи, собственно, распакуем

Код: [Выделить]

cpio -i < ../initrd-xxxxну вот. если все получилось, зрим содержимое и видим кучу всего - скрипты, ядерные модули, busybox + минимальный набор всего необходимого, и т.д., целую микроось в кармане. ну а там ищем grep'ом по ключевым словам, читаем интересные скрипты и пр...

[Mam(O)n]

А можно вопрос: зачем нужно трогать initrd при решении задачи топика?

[deadrash]

Вот, как раз по теме всё расписано на форуме у англоязычной части сообщества: http://ubuntuforums.org/showthread.php?t=1369019

Положил в закладочки, прочту не скоро, сначала надо выучить язык.

А можно вопрос: зачем нужно трогать initrd при решении задачи топика?

Ну это собственно часть задачи, очень хочу в принципе лишить юзера загружать из груба что либо с параметрами.

[DreamSoul]

гроб с паролем

Доставило. 

[Mam(O)n]

Ну это собственно часть задачи, очень хочу в принципе лишить юзера загружать из груба что либо с параметрами.

Уточню вопрос: что конкретно нужно сделать с initrd, что поможет решению задачи?

[deadrash]

Ну это собственно часть задачи, очень хочу в принципе лишить юзера загружать из груба что либо с параметрами.

Уточню вопрос: что конкретно нужно сделать с initrd, что поможет решению задачи?

Отключить возможность приписывать параметры к загрузке, например simple. А лучше вообще отключить возможность редактировать загрузку.

[Mam(O)n]

Отключить возможность приписывать параметры к загрузке, например simple. А лучше вообще отключить возможность редактировать загрузку.

Я так и думал. Не той дорогой пошел, initrd тут не при делах, grub нужно настраивать.

[xkool]

Автор ,это почитай для начала http://itshaman.ru/articles/14/password-grub и это http://sanmai.livejournal.com/774603.html

[deadrash]

Автор ,это почитай для начала http://itshaman.ru/articles/14/password-grub и это http://sanmai.livejournal.com/774603.html

Спасибо, получилось по второй ссылке запаролить!  
Правда я нифига не понял что там написано и как это получается, хотя оно и сработало.
Не понял например что за переменная "PBKDF2" и зачем она нужна, не понял так же зачем нужно добавлять в 05_password некоторые строчки, и самое главное я не понял как таким методом создовать несколько паролей.

Ведь в итоге нужно зделать только:
Генерим хеш пароля командой:

Код: [Выделить]

grub-mkpasswd-pbkdf2
Далее вставляем в файл /boot/grub/grub.cfg строки:

Код: [Выделить]

set superusers="admin"
password_pbkdf2 admin НАШ ХЕШ ПАРОЛЯВсё.

Строка password_pbkdf2 admin НАШ ХЕШ ПАРОЛЯ асоциирует пользователя admin с паролем зашифрованным в хеш.
Eстественно вместо строки "наш хеш пароля" вставляем то что нам выдала команда grub-mkpasswd-pbkdf2
Строка set superusers="admin" говорит что суперадмином будет юзер admin и этот юзер он как бы root меню GRUB2, то есть он может делать всё что ему вздумается.


Если мы хотим запаролить конкретные строки меню, причём разные строки с разным паролем, тогда вписываем ещё парочку паролей в файл груб.цфг рядом с тем что было:

Код: [Выделить]

set superusers="admin"
password_pbkdf2 admin хеш пароля
password_pbkdf2 юзер2 хеш пароля
password_pbkdf2 юзер3 хеш пароляДля того что бы нужная нам строка меню была запаролена добовляем в эту строку, после её названия, параметр --users после параметра следует пользователь которому разрешено загружать эту строку. Можно указать несколько пользователей через пробел.


Пример файла /boot/grub/rgub.cfg (только часть файла)

(Нажмите, чтобы показать/скрыть)

set superusers="admin"

password_pbkdf2 admin grub.pbkdf2.sha512.10000.3F132380...ji3w
password_pbkdf2 boris grub.pbkdf2.sha512.10000.83B9A9FB0...fw4
password_pbkdf2 lena grub.pbkdf2.sha512.10000.D148Aili53D...s53
password_pbkdf2 olga grub.pbkdf2.sha512.10000.34427i3594...fw3

menuentry 'Ubuntu, с Linux 2.6.32-24-generic' --users boris lena --class ubuntu --class gnu-linux --class gnu --class os {
   recordfail
   insmod ext2
   set root='(hd0,1)'
   search --no-floppy --fs-uuid --set f7868ff2-49db-48ba-a08d-5710e31259fa
   linux   /vmlinuz-2.6.32-24-generic root=/dev/mapper/virt-root ro   quiet splash
   initrd   /initrd.img-2.6.32-24-generic
}


menuentry 'Ubuntu, с Linux 2.6.32-24-generic (режим восстановления)' --users boris olga --class ubuntu --class gnu-linux --class gnu --class os {
   recordfail
   insmod ext2
   set root='(hd0,1)'
   search --no-floppy --fs-uuid --set f7868ff2-49db-48ba-a08d-5710e31259fa
   echo   'Загружается Linux 2.6.32-24-generic ...'
   linux   /vmlinuz-2.6.32-24-generic root=/dev/mapper/virt-root ro single
   echo   'Загружается начальный ramdisk ...'
   initrd   /initrd.img-2.6.32-24-generic
}

В этом примере обычный линух смогут загрузить boris и lena под своими паролями, а режим восстановления загрузят boris и olga.
Ни boris ни olga ни даже lena не смогут редактировать никакие пункты загрузки, это может делать только admin
Пользователь admin сможет делсть всё что захочет.
Если параметр --users не дописывать, то пункт загрузки загрузится без вопросов, но редактировать этот пункт загрузки всё равно сможет только admin.

[dimas000]

а теперь нажми 'c' в менюшке и посмотри, что получится.
да, правка grub.cfg - это до первого обновления груба. правь 00-й лучше, запихай там

Код: [Выделить]

cat << EOF
все
что
нужно
EOFкуда-нибудь в удобное место.
а если хочешь вообще напрочь избавиться от возможности давать ядру какие-либо параметры, то суровая идея была в том, что пересобрать его с нужными опциями. есть там эдакая "встроенная строка параметров", там задаем ююид рут-раздела. и есть опция, при которой ядро плюет на все, полученное извне, принимая во внимание лишь содержимое той самой встроенной строки.
можно еще выпендриться: включить все нужное монолитом, шоб могло грузиться без initrd, а поддержку инитрд вырубить вообще. что спасет от подмены этого самого инитрд на другой, содержащий в init-скрипте одну строчку "/bin/sh" или вовсе гадость какую. впрочем, если нехороший юзер имеет доступ к бут-разделу (и, видимо, не только к нему) - тут уж так просто не отделаешься

[deadrash]

а теперь нажми 'c' в менюшке и посмотри, что получится.

Спрашивает пароль, подошол только админский.

да, правка grub.cfg - это до первого обновления груба. правь 00-й лучше, запихай там

Код: [Выделить]

cat << EOF
все
что
нужно
EOFкуда-нибудь в удобное место.

Да конечно граб.цфг трётся со временем, но и 00_ тоже не выход, тогда уж лучше написать скриптик который подписывает всё что нужно, за раз.

а если хочешь вообще напрочь избавиться от возможности давать ядру какие-либо параметры, то суровая идея была в том, что пересобрать его с нужными опциями. есть там эдакая "встроенная строка параметров", там задаем ююид рут-раздела. и есть опция, при которой ядро плюет на все, полученное извне, принимая во внимание лишь содержимое той самой встроенной строки.
можно еще выпендриться: включить все нужное монолитом, шоб могло грузиться без initrd, а поддержку инитрд вырубить вообще. что спасет от подмены этого самого инитрд на другой, содержащий в init-скрипте одну строчку "/bin/sh" или вовсе гадость какую. впрочем, если нехороший юзер имеет доступ к бут-разделу (и, видимо, не только к нему) - тут уж так просто не отделаешься

Да это сурово, прям - Ъ!!
Хотя мне кажется трудозатраты не оправдают составленной защиты, по мне так удобней закриптовать всё в ЛВМ раздел, и спать спокойно (только пароль не забыть ...  ). Мне славо богу не нужно этим заниматься, главное что я избавил сотрудников от искушения управлять загрузкой ОСей, теперь им сложней согрешить  

Сейчас вот думаю как сделать скрипт который добавляет все пароли и права в груб.цфг. Буду очень признателен если подкините маны для начинающих в этом деле.

[dimas000]

Спрашивает пароль, подошол только админски

о, а вот это православно!

Хотя мне кажется трудозатраты не оправдают составленной защиты, по мне так удобней закриптовать всё в ЛВМ раздел, и спать спокойно (только пароль не забыть ...  )

только в данном случае ключи-пароли придется-таки раздать кому надо, чтоб они смогли пользоваться компом. или же флэшку в зубы и бежать включать по первому же зову. или же городить в инитрд ssh, дабы вводить пароль для монтирования рута удаленно. в общем, не выход

Сейчас вот думаю как сделать скрипт который добавляет все пароли и права в груб.цфг. Буду очень признателен если подкините маны для начинающих в этом деле.

все равно нужно будет править 10-ку. и 30-ку, если есть иные оси. для начала таки пихай вышеупомянутое в 00-й куда-нибудь. после чего в 10-ке:

(Нажмите, чтобы показать/скрыть)

  linux_entry "${OS}, Linux ${version}" \
      "${GRUB_CMDLINE_LINUX} ${GRUB_CMDLINE_EXTRA} ${GRUB_CMDLINE_LINUX_DEFAULT}" \
      quiet
  if [ "x${GRUB_DISABLE_LINUX_RECOVERY}" != "xtrue" ]; then
    linux_entry "${OS}, Linux ${version} (recovery mode)" \
        "single ${GRUB_CMDLINE_LINUX}"
  fi

меняешь на

(Нажмите, чтобы показать/скрыть)

  users="user1 user2" #юзеры, кто может грузить обычные пункты
  linux_entry "${OS}, Linux ${version}" \
      "${GRUB_CMDLINE_LINUX} ${GRUB_CMDLINE_EXTRA} ${GRUB_CMDLINE_LINUX_DEFAULT}" \
      quiet
  users="" #обнуляем переменную
  if [ "x${GRUB_DISABLE_LINUX_RECOVERY}" != "xtrue" ]; then
    users="user3 user4" #кто может грузить рекавери
    linux_entry "${OS}, Linux ${version} (recovery mode)" \
        "single ${GRUB_CMDLINE_LINUX}"
  users=""
  fi

и выше

(Нажмите, чтобы показать/скрыть)

linux_entry ()
{
  cat << EOF
menuentry "$1" {

на

(Нажмите, чтобы показать/скрыть)

linux_entry ()
{
[ -n "$users" ] && users=" --users $users"
  cat << EOF
menuentry "$1"${users} {

как-то так. в 30-ке аналогично, поковыряй, попробуй на досуге додумать нужное))
да, кстати, в предыдущем посте в спойлере подскорати свои строки с хэшами, а то растягивает страницу в браузере