حالا بحث من با دوستانی هست که می‌خوان کافی‌نت یا حتی در دانشگاه به صورت گنو/لینوکسی راه‌اندازی کنند. اگه تا حالا بر روی GRUB خودتون رمز نگذاشتید همین الان این کار رو بکنید. برای چی ؟! خوب برای اینکه یک از خدا بی‌خبری ( مثل بنده ! ) میاد و به راحتی با همین گراب شما دست به هر کاری که دلش می‌خواد میزنه.

حالا قبل از اینکه بدونید چطوری بر روی گراب رمز بگذارید ببینید مهاجم (!) چطوری میتونه سیستم شما رو در اختیار خودش بگیره ؟!

وقتی که BIOS گراب رو اجرا می‌کنه و منو رو ظاهر می‌کنه ( اگه ظاهر نشد بوسیله‌ی کلید شیفت سمت راست این کار رو بکنید ) کلید e رو بر روی صفحه‌کلید بزنید ( بعضی از توزیع‌ها مثل اوپن سوزه به صورت پیشفرض در حالت edit قرار دارن ) و حالا خطی که شامل kernel هست رو پیدا کنید بازم e رو بزنید. حالا در انتهای این خط اضافه کنید :

init=/bin/sh

و کلید ESC رو بزنید و حالا b رو بزنید تا با این تغییرات بوت انجام بشه. اگه این کارها رو درست انجام داده باشید بایستی بدون رمز هم اکنون در محیط شل باشید. اما هنوز در سیستم اصلی قرار ندارید. باید سیستم اصلی خودتون رو پیدا کنید. این کار رو کافیه با زدن دستور fdisk -l و مشخص کردن اینکه در چه پارتیشنی قرار گرفته بکنید. ( مثلا مال من /dev/sda3 هست )

بعد نوع سیستم فایلش رو هم باید بدونید ( برای من ext4 هست ) پس اون رو mount می‌کنیم :

mount -t ext4 -o rw /dev/sda3 /mnt

به همین راحتی کافیه وارد دایرکتوری mnt بشم و همه‌ی سیستم بدون هیچ محدودیتی در دستمونه ! ( با passwd می‌تونید رمز عوض کنید و یا حتی /etc/shadow رو به صورت دستی ویرایش کنید )

یعنی تمامی اطلاعات ( به خصوص اگه سرور باشه ) از دستتون رفته و مهاجم ( که حتما خودیه !! ) می‌تونه همه‌ی اطلاعات شما رو با یک دستور ساده پاک کنه ( البته این دیگه میشه روانی نه مهاجم )

حتی بعضی وقت‌ها در بعضی توزیع‌هایی که امنیتشون پایینه بدون این دردسر به جای اضافه کردن خطی که در بالا اشاره کردم ( به خط kernel ) کافیه که یک single اضافه کنید و دیگه ماونت کردن هم نیاز نیست.

حالا که متوجه ریسک و خطر شدید اون شدید بایستی تصمیم بگیرید (از تصمیم کبری هم مهم‌تره ! :دی) و رمز بر روی GRUB خودتون بگذارید. برای این کار باید اول رشته‌ای که می‌خواید رو با الگوریتم غیرقابل برگشت md5 درهم ریزی(!) کنید. برای این کار از ابزارهای مختلفی استفاده میشه که یکیشون grub-md5-crypt هست که کافیه دوبار رمزتون رو بزنید تا اون رو صورت encrypt شده تحویلتون بده. یا اینکه در PHP هم می‌تونید با تابع md5 این کار رو انجام بدید.

حالا اگه از grub نسخه ۱ استفاده می‌کنید فایل /boot/grub/grub.conf و اگه از grub نسخه دوم استفاده می‌کنید /etc/default/grub رو باز کنید. و قبل از جایی که اولین title شروع میشه خط زیر رو اضافه کنید :

password –md5 <password-hash>

در قسمت password-hash رمزتون رو بزارید. و به همین راحتی می‌تونید از حمله‌ی مهاجمان جلوگیری کنید.

به‌روز رسانی : برای اینکه کاربران عادی مجبور نباشند که هر بار برای روشن کردن سیستم دوباره رمز عبور را وارد کنند ( فقط در گراب ۲ ) می‌توانید برای هر مدخل GRUB ، سوپرکاربر (SuperUser) تعریف کنید. بدین صورت که آیا برای بوت رمز نیاز باشد و یا برای ویرایش اون مدخل. بسیاری از توزیع‌ها ( مانند اوبونتو ) یک مدخل با نام Recovery Mode دارند که کاربران عادی می‌توانند از آن سوء استفاده کنند پس اون‌ها رو به صورت بوت برای SuperUser و مدخل عادی ( کرنل فعلی ) رو برای بوت برای همه‌ی کاربران تنظیم می‌کنیم.

برای اینکه بوت فقط برای SuperUser فعال باشد کافی است که در اون مدخل به صورت زیر ( قبلا باید اونها رو به همراه رمزشون تعریف کرده باشیم ) فعال کنیم :

set superusers="user1"
password user1 password1
password user2 password2

menuentry "GNU/Linux" {
        set root=(hd0,1)
        linux /vmlinuz
}

menuentry "Windows" --users user2 {
        set root=(hd0,2)
        chainloader +1
}

که در این مثال دو کاربر تعریف شده‌اند که مدخل ویندوز فقط برای کاربر user2 و کاربر user1 که superuser هست قابل بوت است. اما مدخل «GNU/Linux» برای همه‌ی کاربران قابل بوت است اما edit کردن آن فقط برای کاربر user1 امکان‌پذیر است. در ضمن برای گراب ۲ از برنامه‌ی grub-mkpasswd-pbkdf2 استفاده کنید.

با تشکر از الیاد عزیز – برداشت شده از اینجا.

ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ

پ.ن۱: برای اژدهای سبز ( اوپن سوزه ) کانفیگ گراب در مسیر /etc/grub.conf قرار داره.

پ.ن۲: البته هنوز خطر بوت از طریق سی‌دی یا فلش بوسیله‌ی BIOS هست ( پس باید این امکان رو هم غیرفعال کنید )

پ.ن۳: کاربران ویندوز منتظر باشن می‌خوام یک پست در مورد عوض کردن رمز ویندوز از طریق لینوکس بزنم ( فعلا در حال تست و در مرحله آلفا !! )

اما همان‌طور هم که حدس زده‌اید ، سرویس‌های ایمیل دکمه‌هایی شبیه Report Spam سرویس Google Mail رو برای تزئیین قالب سایت نزده‌اند !! وقتی ایمیلی را دیدید که به صورت تبلیغاتی بود و هیچ فایده‌ای برایتان نداشت و فقط باعث اذیت‌کردن شما و تلف کردن وقتتان شد ( این گونه ایمیل‌ها از همان Subjectشان قابل تشخیص هستند ) بجای حذف کردن آن‌ها Select کنید و دکمه‌ی Report Spam یا چیزی شبیه آن را بزنید. با این کار هم هرزنامه از Inbox شما حذف خواهد شد و هم در آینده اگر کسی با آدرس ایمیل فرستنده ، دوباره ایمیلی زد به Inbox شما راه پیدا نخواهد کرد.

خیلی از دوستان می‌گن که تنها راه خلاصی از Spamها اینه که از اولی که ایمیل‌تان را درست می‌کنید ، آدرس آن مخفی بماند و در هیچ لینکی نذارید و یا به هیچ کسی جز افراد مورد اعتماد ندهید. البته این کار درستی هست برای کسانی که ایمیل‌های بسیار مهمی برایشان فرستاده می‌شود و محتوای Inbox آن‌ها ارزش مالی زیادی دارد. اما استفاده از دکمه‌ی Spam در واقع شما را به چیزی شبیه این تبدیل می‌کند.

مثلا در حال حاضر ایمیل من بدون اینکه عضو هیچ‌گونه گروهی باشم ، در چندین هزار گروه ایرانی ثبت شده‌است (!!!) اما بدلیل اینکه به محض آمدن هرگونه ایمیل از گروه‌ها آن را بلاک کرده‌ام ، هر روز پوشه‌ی Spam من ( در GMail ) شامل چندین هزار هرزنامه میشه و سیستم خودکار حذف Spamها مجبور میشه که اونها رو حذف کنه.

به هرحال این یک توصیه بود !! از ما گفتن بود.

موفق باشید.