jueves, 14 de abril de 2011

Password en Grub2

Por todos es sabido que es importante tener contraseñas en todo lo relacionado con los ordenadores. Si tenemos contraseñas en los inicios de sesión o en el correo electrónico, ¿por qué no tenerla también en el arranque del PC, una parte vital?

Suponiendo que tenemos grub2 instalado, que ahora viene por defecto con Ubuntu y Debian, por ejemplo, el arranque nos vendrá sin password y ya no se sigue el método que usábamos en el anterior grub (con md5crypto, etc.) para asignarlo, ni tampoco contamos con el archivo de configuración /boot/grub/menu.lst

Para configurar la contraseña, primero debemos generar una con

grub-mkpasswd-pbkdf2

Tardará un poquillo y nos generará un hash con PBKDF2(usado tambien en WPA/WPA2, por ejemplo).

Luego abrimos el archivo /etc/grub.d/40_custom y añadimos las líneas

set superusers="root"
password_pbkdf2 root HASHDEANTES


Donde HASHDEANTES es el churro que nos salió de la instrucción anterior.
Hacemos un

update-grub

y listo. Esto hará que nadie pueda cambiar los comandos que ejecuta el bootloader(con 'e' cuando estáis en el grub).

Me parece increíble que Debian insista tanto en contraseñas, certificados, etc. cuando lo instalas y no pregunte(o al menos yo no lo recuerdo) para establecerte una pass en el bootloader(que a efectos prácticos es como si te dejaran el sistema con la pass de root en blanco si el atacante tiene acceso físico a la máquina).

Nos vemos

3 comentarios:

  1. Muchas gracias Uxio :) a la perfección todo :)

    P.D. esto es seguridad un poco a nivel paranoico para un user normal pero bueno... nunca esta demás

    Nos vemos!

    ResponderEliminar
  2. Si todos fuéramos usuarios normales estaría guay, pero el problema es que siempre hay algún espabilado por el mundo jaja.

    Salu2

    ResponderEliminar
  3. Por si las moscas, di que sí.

    ResponderEliminar