grub taste "e" sperren

Post Reply
Message
Author
hinti

grub taste "e" sperren

#1 Post by hinti »

Hallo!
Wenn beim Starten vom PC Grub erscheint kann man die Einträge in der menu.lst mit der Taste "e" ändern.
Ich kann somit auch das Passwort ändern das ich in der menu.lst vorgegeben habe. Gibt es eine Möglichkeit dies zu verhindern bzw. die menu.lst zu sperren.

User avatar
Janka
Posts: 3585
Joined: 11. Feb 2006 19:10

#2 Post by Janka »

Öhm, das Grub-Passwort ist doch gerade dazu da, dass man *nicht* interaktiv am Menü rumstellen kann, wenn man das Passwort nicht kennt. So ganz verstehe ich dein Problem nicht.

Janka
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.

hinti

#3 Post by hinti »

Auszug aus der menu.lst

Code: Select all

# (1) Arch Linux
title  Arch Linux
root   (hd0,1)
kernel /boot/vmlinuz26 root=/dev/sdb2 ro
initrd /boot/kernel26.img
password --md5 $1$UiLwV/$BcmsTyFhDvN.Twibl2o/00 
Wenn jetzt beim booten Grub erscheint kann ich mit der Taste "e" Grub editieren und das Passwort löschen und kann in diesem Fall Arch Linux booten. Dies möchte ich aber verhindern.
lg.

User avatar
Janka
Posts: 3585
Joined: 11. Feb 2006 19:10

#4 Post by Janka »

Das "password"-Kommando muss in menu.lst ganz nach oben, nicht in irgendeinen Boot-Eintrag hinein. Wenn du zusätzlich das Booten bestimmter Einträge ohne Passwort verhindern willst, muss dort *zusätzlich* das Kommando "lock" direkt hinter dem "title"-Kommando hinein.

Aber eigentlich ist das ohnehin Fake security, denn wer an den Grub-Prompt rankommt, kommt auch an das BIOS-Setup ran, kann dort das Masterpasswort eintippen, die Bootreihenfolge auf "Von Ethernet booten" ändern, dann ein Notebook dranhängen und eben dieses tun. Aus dem per Netz gebooteten System hat er auch Zugriff auf die Festplatte. Und das, ohne das Gehäuse zu öffnen und sie auszubauen, was ja prinzipiell auch meist ginge.

Die einzig wirksame Sicherheit ist die Vollverschlüsselung der Platte, flankiert von weiteren Maßnahmen, die verhindern, dass das Kennwort abgefangen wird.

Janka
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.

hinti

#5 Post by hinti »

Danke dir Janka, hat mir sehr geholfen.

lg.

Post Reply