Passwort setzen für den Bootmanager GRUB
Supportdatenbank (fhassel_grub_password)
Bezieht sich auf
SuSE Linux: Versionen ab 8.1
Anliegen
Sie möchten ein Passwort für den Bootmanager Grub setzten, um das interaktive Menu von Grub zu
sperren und/oder das Booten bestimmter Betriebssysteme aus der Auswahlliste zu sperren.
Vorgehen
Da der Bootmanager Grub viele Dateisysteme direkt unterstützt, kann schon während des Bootens
auf Festplatteninhalte zugegriffen werden. Zum Beispiel können auch jene Dateien eines Linux
Systems eingesehen werden, auf die Linux-Benutzer ohne root-Rechte im gestarteten Linux-System
keinen Zugriff haben (vgl. hierzu "Der Bootmanager GRUB" (http://sdb.suse.de/de/sdb/html/fhassel_grub_overview.html)). Mit Hilfe eines Passwortes
kann dieser Zugriff unterbunden werden.
Lediglich die interaktiven Funktionen sperren - ein Booten aller
Betriebssysteme ist weiterhin möglich
Die Benutzung von YaST2 stellt die komfortabelste Möglichkeit dar, eine solche Passwortabfrage
einzusetzen.
Starten Sie dazu das YaST2 Kontrollzentrum mit dem Dialog
- System -->
- Konfiguration des Bootloaders
- Aktuelle Konfiguration ändern
In diesem Menü legen Sie zunächst fest, wohin Grub installiert werden soll: in den Master Boot
Sektor der ersten Festplatte, auf eine Diskette, in den Bootsektor der Boot- bzw.
Rootpartition oder in eine andere Partition.
Mit Weiter wechseln Sie in den Dialog Globale Bootloader-Eigenschaften.
Markieren Sie Passwort für den Bootvorgang setzen und geben Sie ein Passwort zweimal
ein.
Mit Weiter gelangen Sie zur Konfiguration der Tabelle Abschnitte, die Sie
durch nochmaliges Drücken von Weiter überspringen.
Wählen Sie Aktuelle Konfiguration speichern und drücken Sie auf Beenden, um
die Änderungen auf die Festplatte zu speichern. Das Ausführen von Grub-Befehlen am
Boot-Prompt ist nun geschützt. Erst durch die Eingabe von "p" und des Passworts werden diese
freigegeben. Das Starten aller Betriebssysteme, die Sie in der Menüauswahl des Bootloaders
finden, ist jedoch weiterhin für alle Benutzer möglich.
Sperren von Betriebssystem-Einträgen
Soll auch die Auswahl einzelner Einträge im Bootmenü gesperrt werden, so ist zusätzlich
die Datei /boot/grub/menu.lst manuell zu bearbeiten. Laden Sie (als superuser root)
diese Datei in Ihren favorisierten Ascii-Editor. Mit dem Wort title sind die
Abschnitte zum Start der einzelnen Betriebssysteme eingeleitet. Ein Beispiel:
title linux
kernel (hd0,4)/vmlinuz root=/dev/hda7 vga=791
initrd (hd0,4)/initrd
title windows
root (hd0,0)
makeactive
chainloader +1
title floppy
root (fd0)
chainloader +1
title failsafe
kernel (hd0,4)/vmlinuz.shipped root=/dev/hda7 ide=nodma apm=off acpi=off vga=normal nosmp maxcpus=0 3
initrd (hd0,4)/initrd.shipped
Soll das Starten eines dieser Einträge für Unbefugte gesperrt werden, so ist der Eintrag
lock unter einen Abschnitt einzufügen. Als Beispiel könnte dies folgendermassen
aussehen:
title linux
kernel (hd0,4)/vmlinuz root=/dev/hda7 vga=791
initrd (hd0,4)/initrd
lock
Die Änderungen werden nach dem Speichern der Datei übernommen.
In diesem Beispiel ist das Booten dieses Linux-Eintrages nun erst nach Eingabe des Passworts
möglich: Nach einem Reboot und der Auswahl des Eintrags im Bootmenü erscheint ab nun die
Meldung
Error 32: Must be authenticated
Nach Drücken der Enter-Taste sehen Sie ein Menü, in dem Sie durch Drücken der Taste p
das Passwort eingeben können. Das Booten der gelockten Betriebssystemeinträge ist nun möglich.
Manuelles Einfügen des Passwortes
Wenn Sie nicht YaST2 benutzen wollen, um das Passwort einzufügen, gehen Sie wie folgt vor:
Um das Passwort zunächst aus Sicherheitsgründen zu verschlüsseln, rufen Sie als root in einer
Shell das Kommando grub-md5-crypt auf. Sie werden dann nach dem Passwort gefragt,
welches nach der Eingabe verschlüsselt angezeigt wird:
linux:~ # grub-md5-crypt
Password:
$1$xmY1T/$wL6rbH2VC2L3ITFGiveLq.
Diesen String fügen Sie in den globalen Abschnitt der Datei /boot/grub/menu.lst an.
Die Option, die anzufügen ist, heißt password --md5. Der Abschnitt könnte nun
folgendermassen aussehen:
gfxmenu (hd0,0)/message
color white/green black/light-gray
default 0
timeout 8
password --md5 $1$xmY1T/$wL6rbH2VC2L3ITFGiveLq.
Die Änderungen werden nach dem Speichern der Datei übernommen.
Siehe auch:
Der Bootmanager GRUB
Das Bootloader-Konzept in der SuSE Linux Version 8.1
Stichwörter: PASSWORT, BOOTEN, GRUB
Kategorien:
GRUB
SDB-fhassel_grub_password, Copyright SuSE Linux AG, Nürnberg, Germany
- Version: 09. Sep 2002
SuSE Linux AG - Zuletzt generiert: 30. Sep 2002 von fhassel (sdb_gen 1.40.0)