SDB:Passwort setzen für den Bootmanager GRUB

aus openSUSE, der freien Wissensdatenbank

Version: 8.1

Anliegen

Sie möchten ein Passwort für den Bootmanager Grub setzten, um das interaktive Menu von Grub zu sperren und/oder das Booten bestimmter Betriebssysteme aus der Auswahlliste zu sperren.

Vorgehen

Da der Bootmanager Grub viele Dateisysteme direkt unterstützt, kann schon während des Bootens auf Festplatteninhalte zugegriffen werden. Zum Beispiel können auch jene Dateien eines Linux Systems eingesehen werden, auf die Linux-Benutzer ohne root-Rechte im gestarteten Linux-System keinen Zugriff haben (vgl. hierzu SDB:Der Bootmanager GRUB). Mit Hilfe eines Passwortes kann dieser Zugriff unterbunden werden.

Lediglich die interaktiven Funktionen sperren - ein Booten aller Betriebssysteme ist weiterhin möglich

Die Benutzung von YaST2 stellt die komfortabelste Möglichkeit dar, eine solche Passwortabfrage einzusetzen. Starten Sie dazu das YaST2 Kontrollzentrum mit dem Dialog

• System -->
• Konfiguration des Bootloaders
• Aktuelle Konfiguration ändern

In diesem Menü legen Sie zunächst fest, wohin Grub installiert werden soll: in den Master Boot Sektor der ersten Festplatte, auf eine Diskette, in den Bootsektor der Boot- bzw. Rootpartition oder in eine andere Partition.

Mit Weiter wechseln Sie in den Dialog Globale Bootloader-Eigenschaften. Markieren Sie Passwort für den Bootvorgang setzen und geben Sie ein Passwort zweimal ein.

Mit Weiter gelangen Sie zur Konfiguration der Tabelle Abschnitte, die Sie durch nochmaliges Drücken von Weiter überspringen.

Wählen Sie Aktuelle Konfiguration speichern und drücken Sie auf Beenden, um die Änderungen auf die Festplatte zu speichern. Das Ausführen von Grub-Befehlen am Boot-Prompt ist nun geschützt. Erst durch die Eingabe von "p" und des Passworts werden diese freigegeben. Das Starten aller Betriebssysteme, die Sie in der Menüauswahl des Bootloaders finden, ist jedoch weiterhin für alle Benutzer möglich.

Sperren von Betriebssystem-Einträgen

Soll auch die Auswahl einzelner Einträge im Bootmenü gesperrt werden, so ist zusätzlich die Datei /boot/grub/menu.lst manuell zu bearbeiten. Laden Sie (als superuser root) diese Datei in Ihren favorisierten Ascii-Editor. Mit dem Wort title sind die Abschnitte zum Start der einzelnen Betriebssysteme eingeleitet. Ein Beispiel:

title linux
   kernel (hd0,4)/vmlinuz root=/dev/hda7 vga=791
   initrd (hd0,4)/initrd
title windows
   root (hd0,0)
   makeactive
   chainloader +1
title floppy
   root (fd0)
   chainloader +1
title failsafe
   kernel (hd0,4)/vmlinuz.shipped root=/dev/hda7 ide=nodma apm=off acpi=off vga=normal nosmp maxcpus=0 3
   initrd (hd0,4)/initrd.shipped

Soll das Starten eines dieser Einträge für Unbefugte gesperrt werden, so ist der Eintrag lock unter einen Abschnitt einzufügen. Als Beispiel könnte dies folgendermassen aussehen:

title linux
   kernel (hd0,4)/vmlinuz root=/dev/hda7 vga=791
   initrd (hd0,4)/initrd
   lock

Die Änderungen werden nach dem Speichern der Datei übernommen.
In diesem Beispiel ist das Booten dieses Linux-Eintrages nun erst nach Eingabe des Passworts möglich: Nach einem Reboot und der Auswahl des Eintrags im Bootmenü erscheint ab nun die Meldung

Error 32: Must be authenticated

Nach Drücken der Enter-Taste sehen Sie ein Menü, in dem Sie durch Drücken der Taste p das Passwort eingeben können. Das Booten der gelockten Betriebssystemeinträge ist nun möglich.

Manuelles Einfügen des Passwortes

Wenn Sie nicht YaST2 benutzen wollen, um das Passwort einzufügen, gehen Sie wie folgt vor: Um das Passwort zunächst aus Sicherheitsgründen zu verschlüsseln, rufen Sie als root in einer Shell das Kommando grub-md5-crypt auf. Sie werden dann nach dem Passwort gefragt, welches nach der Eingabe verschlüsselt angezeigt wird:

linux:~ # grub-md5-crypt
Password:
$1$xmY1T/$wL6rbH2VC2L3ITFGiveLq.

Diesen String fügen Sie in den globalen Abschnitt der Datei /boot/grub/menu.lst an. Die Option, die anzufügen ist, heißt password --md5. Der Abschnitt könnte nun folgendermassen aussehen:

gfxmenu (hd0,0)/message
color white/green black/light-gray
default 0
timeout 8
password --md5 $1$xmY1T/$wL6rbH2VC2L3ITFGiveLq.

Die Änderungen werden nach dem Speichern der Datei übernommen.

SDB:Der Bootmanager GRUB

SDB:Das Bootloader-Konzept ab der SuSE Linux Version 8.1