Linux の GRUB ブートプログラムの暗号化の概要

1. GRUB暗号化とは何か

前の記事で述べたように、システムの起動時には、 grubインターフェイスに入るための 5 秒間のカウントダウン時間があります。

次の図に示すように:

このとき、Enter キーを押してgrubインターフェースに入ります。

次の図に示すように:

選択ボックスのすぐ下に、数行のプロンプトが表示されます。

# ↑ キーと ↓ キーを使用してオプションを強調表示し、Enter キーを押して選択したオペレーティング システムの起動を確認します。
↑ キーと ↓ キーを使用して、強調表示するエントリを選択します。
Enterキーを押して選択したOSを起動します。

# 開始前にコマンドを編集するにはeを押してください。
起動前にコマンドを編集するには「e」を押します。

# 起動前にカーネルパラメータを変更するには、a を押します。
'a' は起動前にカーネル引数を指定します。 

# コマンド ラインを切り替えるには c キーを押します (戻るには esc キーを押します)。
または連結線の場合は「c」。

プロンプトが表示されたら、 eキーを押して、 grub構成ファイルのブートオプションの内容を編集します。

eキーを押すと、結果は次のようになります。

ヒント: コンテンツを直接変更するには、 eキーをもう一度押します。

grub暗号化については、上の 2 番目の図に示す状態の場合、 eキーを押してシステム起動パラメータを編集する前に、最初に設定したパスワードを入力する必要があります。つまり、 grub直接アクセスして上記のようにシステム起動パラメータを編集できないように、 grubにパスワードを設定します。

2. grub暗号化手順

1) grub-md5-cryptコマンドを実行して md5 パスワードを生成します。

次のコマンドを実行します: [root@localhost ~]# grub-md5-crypt

2) パスワードを設定します。

パスワードを2回入力してください:

パスソード:
パスワードを再入力してください：

MD5 暗号化パスワード文字列を生成: $1$Y84LB1$8tMY2PibScmu0Cc8z8U351

これにより、入力したパスワードが MD5 で暗号化され、この暗号化された文字列を使用してgrub構成ファイルが暗号化されます。

3) grub 設定ファイルを変更します。

passwordオプションは、 timeout属性の後、 splashimage属性の前に追加する必要があります。この順序でなければなりません。他の位置に配置した場合は有効になりません。

以下のように表示されます。

[root@localhost ~]# vim /boot/grub/grub.conf

# コンテンツ デフォルト=0
タイムアウト=5

# パスワードオプションは全体設定内にあります。
パスワード --md5 $1$Y84LB1 $8tMY2PibScmu0Cc8z8U35/

スプラッシュイメージ=(hd 0,0)/grub/splash.xpm.gz

4) システムを再起動します。

システムを再起動した後、 grubインターフェイスに入ると、以下のプロンプトに元のeキーがpキーになっていることが示されました。

もう一度eキーを押しても応答がありません。p pを押すと、パスワードの入力を求められます。パスワードを入力しないと、 grub構成ファイルを編集することはできません。

次の図に示すように:

入力後、Enter キーを押して編集可能なgrubインターフェイスに入り、 eキープロンプトが再び表示されます。以下のように表示されます。

知らせ：

4 番目のステップの最初の画像が表示されたら、パスワードがわからなくても Enter キーを押すだけでシステムを直接起動できます。したがって、 grub暗号化はシステムの起動ではなく、 grub構成ファイルのコンパイルを暗号化します。

上記の暗号化手順は、 grubメニュー全体を暗号化するためのものです。全体の暗号化が完了したら、 grub編集インターフェイスに入るには、正しいパスワードを入力する必要があります。同時に、システムの通常の起動には影響しません。

単一のブートメニューの暗号化もありますが、 grub編集モードをロックすることはできません。ただし、 eキーを押して編集モードに入ることはできます。そして、編集モードに入った後、 passwordフィールドを削除できますが、これはあまり良くないので説明しません。

3. grub暗号化のロック属性

CentOS システムを起動する場合、システムを正常に起動するには、 grub全体を暗号化し、システムの起動時に正しいgrub暗号化パスワードを入力する必要があります。それで私たちは何をすべきでしょうか?

とても簡単です。方法は次のとおりですgrubの/boot/grub/grub.conf設定ファイルで、 titleフィールドにlockを追加して、ロックされていることを示します。正しい grub パスワードを入力しないと、システムを起動できません。

次の図に示すように:

知らせ：

lock属性を追加しないでください。GRUB grubファイルにlock属性を追加すると、パスワードを入力せずに Enter キーを押してもシステムに直接アクセスできなくなります。次に示すように、エラーが報告されます。

エラー 32 が表示されます。続行するには任意のキーを押すと元に戻ります。

lockを追加してはいけない理由:

システムが起動すると、 grubブートプロセスに入ります。この時点では、システムはまだ起動しておらず、ネットワークカードもまだロードされて有効になっていないため、リモートターミナルはサーバーに接続できません。この時点では、ローカル入力にはキーボードのみを使用できます。しかし、現在、当社のサーバーは一般的にコンピューター室または遠隔地に設置されており、お客様にとって非常に不便です。したがって、 grub構成ファイルをロックするためにlockを使用しないでください。

Linux の grub ブートプログラムの暗号化に関するこの記事はこれで終わりです。Linux の grub ブート暗号化に関する関連コンテンツをさらにご覧になりたい場合は、123WORDPRESS.COM で以前の記事を検索するか、以下の関連記事を引き続き参照してください。今後も 123WORDPRESS.COM をよろしくお願いいたします。

以下もご興味があるかもしれません: