Hallo, ich denke die Möglichkeit für Grub ein Paßwort und failsafe-Einträge über UCR als “lock” zu setzten könnte ganz sinnvoll sein.
Hallo,
ich habe hierzu einen Feature-Request Eintrag in unserem Bug-Tracking System erstellt, damit diese Möglichkeit evtl. zu einer kommenden UCS Version mit berücksichtigt werden kann. forge.univention.org/bugzilla/s … i?id=23245
Um die Option manuell aufzunehmen, können Sie wie folgt vorgehen:
Ausführen von Boot-Befehlen im GRUB-Bootpromt unterbinden:
- In einer Konsole als root den Befehl grub-md5-crypt ausführen und anschließend ein Passwort vergeben
# grub-md5-crypt
Password:*****
- Das verschlüsselte Passwort kopieren und in den globalen Abschnitt der Datei /boot/grub/menu.lst vor die Zeile
### BEGIN AUTOMAGIC KERNELS LIST wie folgt setzen:
password --md5 <Hier das verschlüsselte Passwort eintragen>
Zusätzlich kann noch das Starten von Betriebssystemen oder Kernelversionen aus dem GRUB-Bootmenu verhindert werden. Dazu kann die Option lock für jeden einzelnen Abschnitt in der Datei /boot/grub/menu.lst verwendet werden,
so dass dieser ohne Passworteingabe nicht mehr startet.
title UCS, kernel 2.6.32-ucs37-686
root (hd0,0)
kernel /vmlinuz-2.6.32-ucs37-686 root=/dev/mapper/vg_ucs-rootfs
initrd /initrd.img-2.6.32-ucs37-686
lock
Die Passworteingabe im GRUB-Bootmenu erfolgt durch die Taste p und nach der Eingabe durch die Return Taste bootet das ausgewählte System.
Damit die Anpassungen nicht bei der nächsten Änderung von GRUB UCR-Variablen überschrieben werden, sollten Sie die Anpassung direkt in der Template-Datei /etc/univention/templates/files/boot/grub/menu.lst vornehmen und mit den
folgenden Befehl die Konfigurationsdatei neu schreiben:
# ucr commit /boot/grub/menu.lst
Weitere Informationen zu “Univention Configuration Registry” finden Sie im UCS Handbuch und im Univention Support Database:
univention.de/download/dokum … mentation/
sdb.univention.de/1152
Mit freundlichen Grüßen
Murat Odabas