Benutzer-Werkzeuge
admin_grundlagen:bootloader
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
| Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung Nächste Überarbeitung | Vorherige Überarbeitung Letzte Überarbeitung Beide Seiten, nächste Überarbeitung | ||
|
admin_grundlagen:bootloader [2020/11/11 09:08] ingo_wichmann [Grub2 mit Passwort absichern] |
admin_grundlagen:bootloader [2024/04/17 12:34] natureshadow2 [Grub2 mit Passwort absichern] custom.cfg |
||
|---|---|---|---|
| Zeile 54: | Zeile 54: | ||
| ==== Grub2 mit Passwort absichern ==== | ==== Grub2 mit Passwort absichern ==== | ||
| === Root Passwort ändern === | === Root Passwort ändern === | ||
| - | Grub Bootprompt: ''init=/bin/bash'' als Parameter zum Linux Kernel hinzufügen | + | Grub Bootprompt: ''init=/bin/bash'' als Parameter zum Linux Kernel hinzufügen, evtl. ''ro'', ''quiet'' und ''splash=silent'' entfernen. (( siehe |
| + | man bootparam | ||
| + | )) | ||
| Kernel mit ''strg+x'' booten | Kernel mit ''strg+x'' booten | ||
| Zeile 61: | Zeile 63: | ||
| passwd | passwd | ||
| + | ++++ bei Systemem mit SELinux | | ||
| touch /.autorelabel | touch /.autorelabel | ||
| + | ++++ | ||
| - | ((nur bei Systemen mit aktiviertem SELinux notwendig)) | ||
| - | |||
| - | mount -o remount,ro / | ||
| exec /sbin/init | exec /sbin/init | ||
| === Grub absichern === | === Grub absichern === | ||
| - | == Passwort Hash erzeugen == | + | (( Weitere Absicherungsmöglichkeiten: |
| - | Debian 6, CentOS (ab 7), openSuSE Leap 15.1: | + | http://0pointer.net/blog/unlocking-luks2-volumes-with-tpm2-fido2-pkcs11-security-hardware-on-systemd-248.html |
| + | )) | ||
| + | |||
| + | == Passwort-Hash erzeugen == | ||
| + | CentOS (ab 7), Rocky, openSuSE Leap (ab 15.1): | ||
| grub2-mkpasswd-pbkdf2 | grub2-mkpasswd-pbkdf2 | ||
| Zeile 76: | Zeile 81: | ||
| grub-mkpasswd-pbkdf2 | grub-mkpasswd-pbkdf2 | ||
| - | == Passwort Hash eintragen == | + | == Grub-Configdatei mit Passwort Hash anlegen == |
| <file txt /etc/grub.d/45_password> | <file txt /etc/grub.d/45_password> | ||
| #!/bin/sh | #!/bin/sh | ||
| Zeile 86: | Zeile 91: | ||
| password_pbkdf2 root grub.pbkdf2.sha512.10000.FF73A777C6793E117430446F4D12F00D25DA53515B5048B1DAAA0688743550226CD05AD661EBDCA2AA1997AEBDC0C35C74CA48C9309FBED1C201C5875E3AD2E8.292A1642CB109860054562756A5AE950975B586A8DFDE535F566D1ADDCC6747349406E84862FFD9258F64268A36E63EF25A41A3CC0CD6291E63D98CEDDF00FE6 | password_pbkdf2 root grub.pbkdf2.sha512.10000.FF73A777C6793E117430446F4D12F00D25DA53515B5048B1DAAA0688743550226CD05AD661EBDCA2AA1997AEBDC0C35C74CA48C9309FBED1C201C5875E3AD2E8.292A1642CB109860054562756A5AE950975B586A8DFDE535F566D1ADDCC6747349406E84862FFD9258F64268A36E63EF25A41A3CC0CD6291E63D98CEDDF00FE6 | ||
| </file> | </file> | ||
| + | |||
| + | Alternativ einfach in /boot/grub/custom.cfg (in diesem Fall muss danach kein update-grub ausgeführt werden): | ||
| + | |||
| + | <file txt /boot/grub/custom.cfg> | ||
| + | set superusers="root" | ||
| + | password_pbkdf2 root grub.pbkdf2.sha512.10000.FF73A777C6793E117430446F4D12F00D25DA53515B5048B1DAAA0688743550226CD05AD661EBDCA2AA1997AEBDC0C35C74CA48C9309FBED1C201C5875E3AD2E8.292A1642CB109860054562756A5AE950975B586A8DFDE535F566D1ADDCC6747349406E84862FFD9258F64268A36E63EF25A41A3CC0CD6291E63D98CEDDF00FE6 | ||
| + | </file> | ||
| + | |||
| chmod +x /etc/grub.d/45_password | chmod +x /etc/grub.d/45_password | ||
| - | == Auswahl ermöglichen, editieren absichern == | + | == Auswahl ermöglichen, editieren absichern (Standard auf Rocky)== |
| <file txt /etc/grub.d/10_linux> | <file txt /etc/grub.d/10_linux> | ||
| ... | ... | ||
| Zeile 99: | Zeile 112: | ||
| Für BIOS-Systeme: | Für BIOS-Systeme: | ||
| - | Debian (ab 6), Ubuntu (14.04): | + | Debian (ab 6), Ubuntu (ab 14.04): |
| grub-mkconfig -o /boot/grub/grub.cfg | grub-mkconfig -o /boot/grub/grub.cfg | ||
| - | CentOS (ab 7), openSuSE (Leap 15.1): | + | CentOS (ab 7), Rocky, openSuSE (ab Leap 15.1): |
| grub2-mkconfig -o /boot/grub2/grub.cfg | grub2-mkconfig -o /boot/grub2/grub.cfg | ||
| Für UEFI-Systeme: | Für UEFI-Systeme: | ||
| - | Debian, openSuSE: wie bei BIOS-Systemen | + | Debian, Ubuntu, openSuSE: wie bei BIOS-Systemen |
| CentOS (8) | CentOS (8) | ||
| grub2-mkconfig -o /boot/efi/EFI/centos/grub.cfg | grub2-mkconfig -o /boot/efi/EFI/centos/grub.cfg | ||
| + | |||
| + | Rocky | ||
| + | grub2-mkconfig -o /boot/efi/EFI/rocky/grub.cfg | ||
| == testen == | == testen == | ||
| - | Debian (ab 6), Ubuntu (14.04): | + | Debian (ab 6), Ubuntu (14.04), CentOS (ab 7): |
| - | grep password /boot/grub/grub.cfg | + | grep -E 'superusers|password_pbkdf2' /boot/grub*/grub.cfg |
| - | reboot | + | |
| - | CentOS (ab 7): | + | |
| - | grep password /boot/grub2/grub.cfg | + | |
| reboot | reboot | ||
admin_grundlagen/bootloader.txt · Zuletzt geändert: 2024/04/17 12:37 von natureshadow2
Seiten-Werkzeuge
Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Noncommercial-Share Alike 4.0 International
