grub taste "e" sperren

Antworten
Nachricht
Autor
hinti

grub taste "e" sperren

#1 Beitrag von hinti » 02. Apr 2010 17:00

Hallo!
Wenn beim Starten vom PC Grub erscheint kann man die Einträge in der menu.lst mit der Taste "e" ändern.
Ich kann somit auch das Passwort ändern das ich in der menu.lst vorgegeben habe. Gibt es eine Möglichkeit dies zu verhindern bzw. die menu.lst zu sperren.

Benutzeravatar
Janka
Beiträge: 3580
Registriert: 11. Feb 2006 19:10

#2 Beitrag von Janka » 02. Apr 2010 17:12

Öhm, das Grub-Passwort ist doch gerade dazu da, dass man *nicht* interaktiv am Menü rumstellen kann, wenn man das Passwort nicht kennt. So ganz verstehe ich dein Problem nicht.

Janka
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.

hinti

#3 Beitrag von hinti » 02. Apr 2010 17:22

Auszug aus der menu.lst

Code: Alles auswählen

# (1) Arch Linux
title  Arch Linux
root   (hd0,1)
kernel /boot/vmlinuz26 root=/dev/sdb2 ro
initrd /boot/kernel26.img
password --md5 $1$UiLwV/$BcmsTyFhDvN.Twibl2o/00 
Wenn jetzt beim booten Grub erscheint kann ich mit der Taste "e" Grub editieren und das Passwort löschen und kann in diesem Fall Arch Linux booten. Dies möchte ich aber verhindern.
lg.

Benutzeravatar
Janka
Beiträge: 3580
Registriert: 11. Feb 2006 19:10

#4 Beitrag von Janka » 02. Apr 2010 20:57

Das "password"-Kommando muss in menu.lst ganz nach oben, nicht in irgendeinen Boot-Eintrag hinein. Wenn du zusätzlich das Booten bestimmter Einträge ohne Passwort verhindern willst, muss dort *zusätzlich* das Kommando "lock" direkt hinter dem "title"-Kommando hinein.

Aber eigentlich ist das ohnehin Fake security, denn wer an den Grub-Prompt rankommt, kommt auch an das BIOS-Setup ran, kann dort das Masterpasswort eintippen, die Bootreihenfolge auf "Von Ethernet booten" ändern, dann ein Notebook dranhängen und eben dieses tun. Aus dem per Netz gebooteten System hat er auch Zugriff auf die Festplatte. Und das, ohne das Gehäuse zu öffnen und sie auszubauen, was ja prinzipiell auch meist ginge.

Die einzig wirksame Sicherheit ist die Vollverschlüsselung der Platte, flankiert von weiteren Maßnahmen, die verhindern, dass das Kennwort abgefangen wird.

Janka
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.

hinti

#5 Beitrag von hinti » 06. Apr 2010 8:08

Danke dir Janka, hat mir sehr geholfen.

lg.

Antworten