UCR-Variable für GRUB-Paßwort

Hallo, ich denke die Möglichkeit für Grub ein Paßwort und failsafe-Einträge über UCR als “lock” zu setzten könnte ganz sinnvoll sein.

Hallo,

ich habe hierzu einen Feature-Request Eintrag in unserem Bug-Tracking System erstellt, damit diese Möglichkeit evtl. zu einer kommenden UCS Version mit berücksichtigt werden kann. forge.univention.org/bugzilla/s … i?id=23245

Um die Option manuell aufzunehmen, können Sie wie folgt vorgehen:

Ausführen von Boot-Befehlen im GRUB-Bootpromt unterbinden:

  • In einer Konsole als root den Befehl grub-md5-crypt ausführen und anschließend ein Passwort vergeben

# grub-md5-crypt Password:*****

  • Das verschlüsselte Passwort kopieren und in den globalen Abschnitt der Datei /boot/grub/menu.lst vor die Zeile
    ### BEGIN AUTOMAGIC KERNELS LIST wie folgt setzen:
password --md5 <Hier das verschlüsselte Passwort eintragen>

Zusätzlich kann noch das Starten von Betriebssystemen oder Kernelversionen aus dem GRUB-Bootmenu verhindert werden. Dazu kann die Option lock für jeden einzelnen Abschnitt in der Datei /boot/grub/menu.lst verwendet werden,
so dass dieser ohne Passworteingabe nicht mehr startet.

title UCS, kernel 2.6.32-ucs37-686 root (hd0,0) kernel /vmlinuz-2.6.32-ucs37-686 root=/dev/mapper/vg_ucs-rootfs initrd /initrd.img-2.6.32-ucs37-686 lock

Die Passworteingabe im GRUB-Bootmenu erfolgt durch die Taste p und nach der Eingabe durch die Return Taste bootet das ausgewählte System.

Damit die Anpassungen nicht bei der nächsten Änderung von GRUB UCR-Variablen überschrieben werden, sollten Sie die Anpassung direkt in der Template-Datei /etc/univention/templates/files/boot/grub/menu.lst vornehmen und mit den
folgenden Befehl die Konfigurationsdatei neu schreiben:

# ucr commit /boot/grub/menu.lst

Weitere Informationen zu “Univention Configuration Registry” finden Sie im UCS Handbuch und im Univention Support Database:
univention.de/download/dokum … mentation/
sdb.univention.de/1152

Mit freundlichen Grüßen
Murat Odabas

Mastodon