Fred Saft writes:
Am Wed, 13 Nov 2002 16:14:36 +0100 (MET) Rainer Peipp
schrieb: Hallo,
wie kann ich denn den Grub so konfigurieren, daß es nicht möglich ist, im grafischen Bootmenü die Kernelparameter zu ändern.
grub-md5-crypt als root aurufen und ein Passwort eigeben. Den string der generiert wird über die zwischenablage in die /boot/grub/menu.lst übernehmen, das muss so aussehen.
----------------------------------------- timeout 30 color white/brown black/light-gray default 0 #fallback 0 password --md5 $1$tOKgW/$KIsh0Jh27MUWvF0ey3lpj1 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Wie ich in meinem ersten Posting schon geschrieben hatte, reicht das leider nicht. Dieses Passwort verhindert nur, daß man an die Grub-Shell herankommt (welche man vom normalen Grub-Menü über die Taste "c" erreicht). SuSE schaltet aber ein grafisches Bootmenü vor (welches nicht Bestandteil einer normalen Grub-Installation ist !!). In diesem grafischen Bootmenü ist es möglich, dem eigentlichen Boot-Eintrag zusätzliche Parameter zu übergeben. Dies ist nicht durch das Passwort geschützt !! Damit läßt sich jedes Linux- System Kinderleicht aushebeln. Der Fehler liegt also nicht so sehr am Grub selbst, sondern an dem durch SuSE hinzugefügten grafischen Bootmenü. Gruß Rainer -- +++ GMX - Mail, Messaging & more http://www.gmx.net +++ NEU: Mit GMX ins Internet. Rund um die Uhr für 1 ct/ Min. surfen!
Am Donnerstag, 14. November 2002 14:51 schrieb Rainer Peipp:
Wie ich in meinem ersten Posting schon geschrieben hatte, reicht das leider nicht. Dieses Passwort verhindert nur, daß man an die Grub-Shell herankommt (welche man vom normalen Grub-Menü über die Taste "c" erreicht). SuSE schaltet aber ein grafisches Bootmenü vor (welches nicht Bestandteil einer normalen Grub-Installation ist !!). In diesem grafischen Bootmenü ist es möglich, dem eigentlichen Boot-Eintrag zusätzliche Parameter zu übergeben. Dies ist nicht durch das Passwort geschützt !! Damit läßt sich jedes Linux- System Kinderleicht aushebeln.
Hallo, Das grafische Bootmenu von SuSe kann durch entfernen der Zeile mit "gfxmenu" in der /boot/grub/menu.lst deaktiviert werden. Auch in der passwortgeschützen Grub Shell kann man die Kernelparameter ändern, wenn man erst mal drin ist. Denn dann kann man im Edit- oder Command Mode tun, zu was man lustig ist. Man kann vielleicht: - gfxmenu deaktivieren - alle Einträge durch Passwort sichern, mit Ausnahme derjenigen, bei denen die Kernelparameter nicht veränderbar sein sollen. Grüße Andrea
Am Thu, 14 Nov 2002 14:51:41 +0100 (MET)
Rainer Peipp
Wie ich in meinem ersten Posting schon geschrieben hatte, reicht das leider nicht. Dieses Passwort verhindert nur, daß man an die Grub-Shell herankommt(welche man vom normalen Grub-Menü über die Taste "c" erreicht). SuSE schaltet aber ein grafisches Bootmenü vor (welches nicht Bestandteil einer normalen Grub-Installation ist !!). In diesem grafischen Bootmenü ist es möglich, dem eigentlichen Boot-Eintrag zusätzliche Parameter zu übergeben. Dies ist nicht durch das Passwort geschützt !! Damit läßt sich jedes Linux- System Kinderleicht aushebeln.
Der Fehler liegt also nicht so sehr am Grub selbst, sondern an dem durch SuSE hinzugefügten grafischen Bootmenü.
Deshalb steht in der menu.lst ja auch unter den Boot-Einträgen *lock* Somit ist ein booten eines Eintrags wo dieses *lock* steht nicht ohne Passwort möglich. ciao fred -- ...einmal glaubte ich zu irren, doch ich täuschte mich !!!
participants (3)
-
El_Siurell
-
Fred Saft
-
Rainer Peipp