本不是啥新鲜东西,网上多的是相关资料,只是今天又突然发现了一点有趣的东西
grub 的配置文件,允许一个password的命令,该命令如果加在全局(grub启动显示的几项之外),那么就意味着用户想编辑启动选项,或是想退到grub的shell,是必须要输入password命令后所跟的密码的,如果全局没有这行,那用户是可以用esc键退至grub的shell中,对安全有很大的影响; 如果password命令是加载到启动项里,那意味着用户想按回车键进入某系统,也是需要输入密码的。 看似比较简单就可以做好启动上的安全措施,其实不然, 用户只要能以任何方式浏览到menu.lst的内容,那么密码就形同虚设,因为不带任何参数的password,后面是需要跟明文密码的。于是grub里就有了另外一个shell下的命令:grub-md5-crypt (linux) 或 md5crypt (win) ,在shell下输入这个命令后, 系统要求输入一个密码并确认,然后生成一个字符串,也就是输入密码加密后的结果。menu.lst里,在你想加入password命令的地方,接一个参数 --md5 ,然后填上产生的字符串,这样,你的grub就被加密了,就算有人读到menu.lst文件,也没法儿知道你的密码.
我所觉得有趣的东西就是, 使用grub-md5-crypt 或md5crypt 命令生成字符串的时候,同样的密码,每次都会生成不同的字符串,而且都是可用的, 让我郁闷好半天, 以为是输错了,或是键盘故障
grub 的配置文件,允许一个password的命令,该命令如果加在全局(grub启动显示的几项之外),那么就意味着用户想编辑启动选项,或是想退到grub的shell,是必须要输入password命令后所跟的密码的,如果全局没有这行,那用户是可以用esc键退至grub的shell中,对安全有很大的影响; 如果password命令是加载到启动项里,那意味着用户想按回车键进入某系统,也是需要输入密码的。 看似比较简单就可以做好启动上的安全措施,其实不然, 用户只要能以任何方式浏览到menu.lst的内容,那么密码就形同虚设,因为不带任何参数的password,后面是需要跟明文密码的。于是grub里就有了另外一个shell下的命令:grub-md5-crypt (linux) 或 md5crypt (win) ,在shell下输入这个命令后, 系统要求输入一个密码并确认,然后生成一个字符串,也就是输入密码加密后的结果。menu.lst里,在你想加入password命令的地方,接一个参数 --md5 ,然后填上产生的字符串,这样,你的grub就被加密了,就算有人读到menu.lst文件,也没法儿知道你的密码.
我所觉得有趣的东西就是, 使用grub-md5-crypt 或md5crypt 命令生成字符串的时候,同样的密码,每次都会生成不同的字符串,而且都是可用的, 让我郁闷好半天, 以为是输错了,或是键盘故障
扫一扫
2840
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
