Если у Вас несколько ОС на ноутбуке или ПК и Вы используете графический загрузчик BURG, то стоит подумать о защите, пототому что через загрузчики (GRUB или GRUB2 в том числе) сущестует возможность сброса пароля админа(суперюзера) юникс-систем...
Итак, приступим... В сети я натыкался на множество инструкций, но большая часть их сводилась к костылям в виде файла 05_password и генерацией хэшей password_pbkdf2 (те кто не в танке прекрасно поняли о чём я). Я решил найти решение, которое будет реализовано стандартными средствами самого BURG, без пременения костылей.
Для начала создадим для BURG суперюзера (он сможет редактировать меню при загрузке и т.д.)
|
Код:
|
sudo burg-adduser -s admin |
Система запросит пароль и его подтвержение, вводим внимательно. Затем система зашифрует данные учётной записи и сохранит в
/etc/default/burg-passwd (если что-то пойдёт не так - можно удалить ненужные учётные записи из этого файла).
Можно создать обычного пользователя (редактировать прав нет, но, при соответствующем уровне доступа, может грузить определённые ОС из списка).
|
Код:
|
sudo burg-adduser user |
Далее открываем файл
/etc/default/burg, ищем секцию
|
Код:
|
# Add user with burg-adduser, then use GRUB_USERS to config authentication.
# The following example means user1 can boot Ubuntu, no password is needed to
# boot Windows, user1 amd user2 can boot other OS. Superusers can boot any OS
# and use hotkeys like `c' to enter console mode.
#GRUB_USERS="*=user1,user2:ubuntu=user1:windows=" |
В принципе, из коментариев уже понятно как создавать правила доступа... Но на всякий случай приведу пару примеров:
1. Все имеют право загружать любую ОС, но не имеют право редактировать варианты загрузки (для 90% случаев это, то что нужно)
2. Допустим, админ имеет право для загрузки linux- и windows-систем, а юзер может грузить только windows (иногда и такое нужно).
|
Код:
|
GRUB_USERS="ubuntu=admin:windows=admin,user" |
Разделителем правил выступает двоеточие. В этом примере всё как я и написал: админ имеет право для загрузки linux- и windows-систем, а юзер может грузить только windows, но даже админ не имеет доступа к режиму восстановления linux (как раз через через него и можно сбросить пароль суперадмина).
3. Теперь ситуация, когда админ и юзер могут грузить linux, но админ будет иметь доступ к загрузке в режиме восстановления.
|
Код:
|
GRUB_USERS="*ubuntu=admin:ubuntu=user" |
После всех манипуляций с учётками не забываем пересобирать конфигурационный файл BURG:
Ничего сложного нет. Ubuntu и Windows в правилах - это названия классов ОС в BURG, если вникните - научитесь составлять необходимые Вам правила.
Защищаем BURG
возле аватара или кнопочку 
