Dotaz: debian, grub a heslo

Zdravíčko!

Na Debiane ma trápi jedna vec týkajúca sa GRUB-u a hesla, ktoré chráni prístup k jednotlivým položkám a k CMD zavádzača - chcem sa poradiť, ako sa k tejto veci staviate Vy.

V zavádzači mám nastavené heslo, aby nebolo možné vstupovať do niektorých položiek v menu, zároveň nie je možné tieto položky editovať a prístup k CMD zavádzača je tiež chránený. Jednu položku však chcem mať vždy "odomknutú" - toto dosiahnem pridaním parametru --unrestricted príslušnej položke v /boot/grub/grub.cfg.

Debian však pri aktualizácií bežne prepisuje súbor /boot/grub/grub.cfg (na rozdiel od Archlinuxu napríklad), čo pri unattended upgrades je trocha nepríjemné. Ako to máte ošetrené Vy?

Napadá ma možnosť ošéfovať to skriptom, ktorý sa spustí pri generovaní konfiguračného súboru (v podstate ten skript, ktorý do konfiguráku vkladá heslo). Alebo sa na to heslo úplne vykašľať - má toto heslo dnes ešte význam?

Soubor grub.cfg se nemá editovat protože ho tvoří script update-grub který v Archu standartně není instalován , zde výpis také na archu kde ho ale instalován mám.

which update-grub

/usr/bin/update-grub

 

cat /usr/bin/update-grub

#!/bin/sh set -e exec grub-mkconfig -o /boot/grub/grub.cfg "$@"

 

úprava grub.cfg se provádí skrze scripty /etc/default/grub a /etc/grub.d

například mám vypnuté v /etc/default/grub volbu  GRUB_DISABLE_OS_PROBER=true pro detekci napříklat osx a windows a naházenou ji mám ručně v souboru /etc/grub/40_custom takto :

#!/bin/sh
exec tail -n +3 $0
# This file provides an easy way to add custom menu entries.  Simply type the
# menu entries you want to add after this comment.  Be careful not to change
# the 'exec tail' line above.
menuentry 'Operační systém Windows 7 a 10' --class windows --class os $menuentry_id_option 'osprober-chain-903E44A03E4480E8' {
savedefault
insmod part_msdos
insmod ntfs
set root='hd0,msdos1'
if [ x$feature_platform_search_hint = xy ]; then
search --no-floppy --fs-uuid --set=root --hint-ieee1275='ieee1275//disk@0,msdos1' --hint-bios=hd0,msdos1 --hint-efi=hd0,msdos1 --hint-baremetal=ahci0,msdos1  903E44A03E4480E8
else
search --no-floppy --fs-uuid --set=root 903E44A03E4480E8
fi
parttool ${root} hidden-
drivemap -s (hd0) ${root}
chainloader +1
}

kde to číslo 903E.... je blokové číslo oddílu

sudo blkid

/dev/sda1: LABEL="RezervovM-CM-!no systM-CM-)mem" UUID="903E44A03E4480E8" TYPE="ntfs" PARTUUID="5a49bc46-01"

 

/etc/boot/grub vypadá nějak takto

 

GRUB_DISTRIBUTOR="Arch"
GRUB_TERMINAL_INPUT=console
GRUB_THEME=/boot/grub/themes/Archxion/theme.txt
GRUB_SAVEDEFAULT="true"
GRUB_GFXMODE="1024x768"
GRUB_GFXPAYLOAD_LINUX=keep
GRUB_CMDLINE_LINUX_DEFAULT="loglevel=3 rd.systemd.show_status=auto rd.udev.log_priority=3 nvidia-drm.modeset=1 vga=0x034d nomodeset video=uvesafb:mode_option=1920×1080-24,mtrr=3,scroll=ywrap"
GRUB_CMDLINE_LINUX=""
GRUB_PRELOAD_MODULES="part_gpt part_msdos"
GRUB_DISABLE_RECOVERY="true"
GRUB_DISABLE_SUBMENU=y
GRUB_DISABLE_OS_PROBER=true
GRUB_DEFAULT=saved
GRUB_TIMEOUT=4

Nemám ale zaheslovaný grub ale podle mne to máš nastavovat v těchto  souborech /etc/grub.d/* a /etc/default/grub  potom ti automatická aktualizace jádra a jiné vytvoří vždy aktuální grub.cfg který bude hodnoty již obsahovat.

Nevím jak vypadají tvé úpravy ale podle mne pokud chceš jít metodou post-install tak uprav script update-grub či update-grub2 a do něj přidej dodatečnou úpravu již vygenerovaného grub.cfg a to obslouží opravu po vygenerování.

Moje riešenie je zmena v skripte /etc/grub.d/10_linux. Mám pridanú premennú superusers, heslo pre užívateľa root a pridané do sekcie tvorby položiek v premennej CLASS reťazec --unrestricted

Vyriešené, vďaka.

Já k tomu přistupuju takhle: Jediné heslo, které GRUBu dávám, je heslo pro LUKS. No a všechny položky, které tam mám, potřebují to heslo, protože všechno je šifrované, samozřejmě i adresář /boot. Ergo nemám důvod vymýšlet nějaké zamykání některých položek a některých zase ne.