PDA

Ver la Versión Completa : Hardening Grub



c1b3rh4ck
03-sep-2010, 21:25
Este post quiere mostrar como asegurar grub en Suse 11.0 , y desabilitar el reseteo del password root desde el grub cuando se agrega init=/bin/sh o bash


Lo primero que debemos hacer es estar logueados como root en nuestra terminal ,por preferecia siempre trabajo con las terminales solo en modo texto pues los procesos son mas eficaces .ctrl-alt-f1 .

Vamos al directorio del grub

/boot/grub

apareceran los siguientes archivos :

-rw------- 1 root root 15 sep 1 15:23 device.map
-rw------- 1 root root 15 ago 25 19:40 device.map.old
-rw-r--r-- 1 root root 7596 jun 6 2008 e2fs_stage1_5
-rw-r--r-- 1 root root 7328 jun 6 2008 fat_stage1_5
-rw-r--r-- 1 root root 6604 jun 6 2008 ffs_stage1_5
-rw-r--r-- 1 root root 6600 jun 6 2008 iso9660_stage1_5
-rw-r--r-- 1 root root 8268 jun 6 2008 jfs_stage1_5
-rw------- 1 root root 1642 sep 1 15:28 menu.lst
-rw------- 1 root root 1227 sep 1 15:28 menu.lst.old
-rw-r--r-- 1 root root 6832 jun 6 2008 minix_stage1_5
-rw-r--r-- 1 root root 9216 jun 6 2008 reiserfs_stage1_5
-rw-r--r-- 1 root root 512 jun 6 2008 stage1
-rw-r--r-- 1 root root 105630 ago 25 19:40 stage2
-rw-r--r-- 1 root root 6864 jun 6 2008 ufs2_stage1_5
-rw-r--r-- 1 root root 6204 jun 6 2008 vstafs_stage1_5
-rw-r--r-- 1 root root 9028 jun 6 2008 xfs_stage1_5


Editamos menu.lst con vim aparecera :

###Don't change this comment - YaST2 identifier: Original name: failsafe###
title Failsafe -- openSUSE 11.0 - 2.6.25.20-0.7 (default)
root (hd0,1)
kernel /boot/vmlinuz-2.6.25.20-0.7-default root=/dev/disk/by-id/scsi-SATA_MD02500-BJBW_MW0WCANKA767788-part2 showopts ide=nodma apm=off acpi=off noresume nosmp noapic maxcpus=0 edd=off x11failsafe vga=0x31a
initrd /boot/initrd-2.6.25.20-0.7-default

###Don't change this comment - YaST2 identifier: Original name: linux-2.6.25.20-0.7-pae###
title openSUSE 11.0 - 2.6.25.20-0.7 (pae)
root (hd0,1)
kernel /boot/vmlinuz-2.6.25.20-0.7-pae root=/dev/disk/by-id/scsi-SATA_MD02500-BJBW_MW0WCANKA767788-part2 resume=/dev/sda1 splash=silent showopts vga=0x31a
initrd /boot/initrd-2.6.25.20-0.7-pae

###Don't change this comment - YaST2 identifier: Original name: failsafe###
title Failsafe -- openSUSE 11.0 - 2.6.25.20-0.7 (pae)
root (hd0,1)
kernel /boot/vmlinuz-2.6.25.20-0.7-pae root=/dev/disk/by-id/scsi-SATA_MD02500-BJBW_MW0WCANKA767788-part2 showopts ide=nodma apm=off acpi=off noresume nosmp noapic maxcpus=0 edd=off x11failsafe vga=0x31a
initrd /boot/initrd-2.6.25.20-0.7-pae

Como veran aparecen los discos y imagenes de inicio agregamos lo siguiente

password "Contraseña"

Si nuestro archivo ya tiene el password solo le quitaremos el #
ya que el numeral representa un comentario , en los archivos de configuraccion , donde"Contraseña" es el password el cual podemos asignar

Si desearamos que nuestro password estuviera encriptado en md5 , teclearia en la terminal como root :
grub> md5crypt
md5crypt
Password: Contraseña
Contrasea
Encrypted: $1$JK6Nk/$XU2dfKpdseI3YA5O/KLOX.
grub>


y en vez de colocar password Contraseña colocaremos password --md5 $1$JK6Nk/$XU2dfKpdseI3YA5O/KLOX.

Y listo .La unica forma de resetear el Grub seria montando un livecd y editar los archivos de configuracion de Grub .

jcsl
05-sep-2010, 16:22
Hola.

Para los amigos de las interfaces gráficas, se puede conseguir lo mismo que propone c1b3rh4ck así:


Ejecutar YasT y seleccionar Cargador de arranque.
Seleccionar la pestaña Instalación del cargador de arranque.
Pulsar el botón Opciones del cargador de arranque.
Marcar la casilla Proteger el cargador de arranque con contraseña y escribir la contraseña.

La contraseña se encripta con md5 por defecto.

Nota: el menú gráfico de GRUB no es compatible con la protección con contraseña; si se usa la contraseña el menú de GRUB aparece en modo texto. Añado esto para que nadie piense que ha hecho algo mal al verlo y para que se tenga en cuenta si se prefiere tener el menú gráfico.

Un saludo.

davmont
05-sep-2010, 22:02
yo lo hice en su momento desde la interfaz gráfica...

ahora sólo se puede acceder al PC si tienes mi huella dactilar (cosas del pc, no configurado en linux, antes de que pregunteis), o sabes la contraseña de la bios...

un saludo :adios: