Autentisering och auktorisation

Från Wiki.linux.se
Hoppa till navigering Hoppa till sök

19.1 Autentisering och auktorisation i GRUB

Som standard är startladdarens gränssnitt tillgängligt för alla med fysisk tillgång till konsolen: vem som helst kan välja och redigera vilken menyinmatning som helst, och vem som helst kan få direkt åtkomst till ett GRUB-skal. För de flesta system är detta rimligt eftersom någon med direkt fysisk tillgång har flera andra sätt att få full åtkomst, och att kräva autentisering på startladdarnivån skulle bara göra det svårt att återställa trasiga system.

I vissa miljöer, som kiosker, kan det dock vara lämpligt att låsa startladdaren så att autentisering krävs innan vissa operationer utförs.

Kommandona password (se password) och password_pbkdf2 (se password_pbkdf2) kan användas för att definiera användare, var och en med ett associerat lösenord. password sätter lösenordet i klartext, vilket kräver att grub.cfg är säkrad; password_pbkdf2 sätter lösenordet haschat med Password-Based Key Derivation Function (RFC 2898), vilket kräver att grub-mkpasswd-pbkdf2 (se Använda grub-mkpasswd-pbkdf2) används för att generera lösenordshashar.

För att aktivera autentiseringsstöd måste miljövariabeln superusers sättas till en lista av användarnamn, separerade med mellanslag, kommatecken, semikolon, pipetecken eller och-tecken. Superanvändare får använda GRUB-kommandoraden, redigera menyinmatningar och köra vilken menyinmatning som helst. Om superusers är satt, är användningen av kommandoraden och redigering av menyinmatningar automatiskt begränsad till superanvändare. Att sätta superusers till en tom sträng inaktiverar i praktiken åtkomst till både CLI och redigering av menyinmatningar. Notera: Miljövariabeln behöver exporteras för att även påverka sektionen som definieras av kommandot submenu (se submenu).

Andra användare kan få tillåtelse att köra specifika menyinmatningar genom att ge en lista av användarnamn (som ovan) med alternativet --users till kommandot menuentry (se menuentry). Om alternativet --unrestricted används för en menyinmatning, är den inmatningen obegränsad. Om alternativet --users inte används för en menyinmatning, kan endast superanvändare använda den.

Sammantaget kan ett typiskt utdrag ur grub.cfg se ut så här:

set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.biglongstring
password user1 insecure

menuentry "Kan köras av vilken användare som helst" --unrestricted {
    set root=(hd0,1)
    linux /vmlinuz
}

menuentry "Endast för superanvändare" --users "" {
    set root=(hd0,1)
    linux /vmlinuz single
}

menuentry "Kan köras av user1 eller en superanvändare" --users user1 {
    set root=(hd0,2)
    chainloader +1
}

Programmet grub-mkconfig har ännu inte inbyggt stöd för att generera konfigurationsfiler med autentisering. Du kan använda /etc/grub.d/40_custom för att lägga till enkel superanvändarautentisering genom att lägga till set superusers= och password eller password_pbkdf2-kommandon.

Sidslut

Orginalhemsidan på Engelska : https://www.gnu.org/software/grub/manual/grub/html_node/Authentication-and-authorisation.html#Authentication-and-authorisation

GNU GRUB Manual


Det här är en maskinöversättning av GNU-manualen till svenska. Om du hittar fel är vi tacksamma om du rapporterar dem via formuläret som finns på https://www.linux.se/kontaka-linux-se/

Tack till Datorhjälp Stockholm som har sponsrat Linux.se med webserver.