Outils pour utilisateurs

Outils du site


grub

Grub

biblio

initramfs

Pour regénérer une image initramfs pour un noyau donné:

dracut -vv -f /boot/initramfs-4.2.5-201.fc22.x86_64.img 4.2.5-201.fc22.x86_64

( l'option -vv est bien sur facultative )

grub2-mkconfig -o attention à l'emplacement des fichiers selon qu'on utilise UEFI ou BIOS

Pas d'édition manuelle du fichier grub.cfg, mais utilisation de /etc/grub.d et /etc/default/grub

attention pour êtr epris en en compte les fichiers de /etc/grub.d doivent être exécutables

entrée personnalisée

Supprimer (ou rendre non exécutable) tous les fichiers de /etc/grub.d sauf 00_header, 01_user et 40_custom

copier le contenu de grub.cfg dans /etc/grub.d/40_custom ( uniquement les menuentry). Conserver l'en-tête d'origine du fichier.

Adapter 40_custom selon vos besoins

Régénérez la configuration

paramètres noyau

Illustrer le principe en utilisant le menu grub pour démarrer en mode emergency

Utiliser le paramètre GRUB_CMDLINE_LINUX de /etc/default/grub

Protection par mot de passe

La protection par mot de passe permet 2 choses :

  1. la protection contre l'édition du menu grub
  2. la protection du démarrage de la machine par mot de passe.

Corriger un petit bug

Par défaut, contrairement à la doc, le boot n'est pas protégé. Si on souhaite protéger le démarrage de la machine par mot de passe, il convient de réaliser l'opération suivante:

Dans la définition de la variable CLASS dans le fichier /etc/grub.d/10_linux il faut supprimer la référence à restricted

Rajouter dans le fichier /etc/grub.d/01_users

cat <<EOF
set superusers="john"
password john johnspassword
password jane janespassword
EOF

ensuite dans grub.cfg, rajouter pour chaque menuentry les options:

  • –unrestricted (tout le monde peut booter, seul superuser peut éditer)
  • –users foo (superuser peut éditer et lancer, foo peut lancer)
  • en l'absence d'une de ces 2 directives, les utilisateurs n'auront pas la possibilité de démarrer l'entrée spécifiée.

Chiffrer les mots de passe

utiliser la commande grub2-mkpasswd-pbkdf2

le fichier /etc/grub.d/01_users devient:

set superusers="john"
password_pbkdf2 john grub.pbkdf2.sha512.10000.7EAC145B1A4EF82FB5DD2E36372ED1C21A8B80C2771558D8C2DD65F535906126E215E05E58FA17DBCB966C169570CB6DA1930C790C4F848B4B1CB104A9888BE5....
password_pbkdf2 jane grub.pbkdf2.sha512.10000.E86F14A5B4AA3134F9CAA29CF0FD595F11CE66927A849CB8D98CECE5B9EA3BEB4B054B368A6469BEE2B87A982F642F01EDCAFBA682E3559660B4139B500CFC49

Régnérer le fichier de conf principal (grub2-mkconfig -o /boot/grub2/grub.cfg) après avoir créé / modifié ces fichiers.

Vérifier: l'édition du menu grub n'est plus possible.

Réinstaller GRUB

Dans le cas où le système est en carafe, ne démarre plus, …

grub-install /dev/sda

restart from scratch

rm -fr /etc/sysconfig/grub
rm -fr /etc/grub.d/*
yum reinstall grub2-tools

puis regénérer le fichier de conf

Réinitialiser le mot de passe root

Supprimer rhgb et quiet de la ligne de commandenoyau

rajouter init=/bin/sh

lancer le système et remonter / en rw

charger la politique selinux en mémoire: /usr/sbin/load_policy -i

exécuter la commande passwd

relancer le système, ou poursuivre le démarrage (exec /sbin/init)

# vim: set filetype=dokuwiki:

grub.txt · Dernière modification: 2017/05/22 07:29 (modification externe)