Se sei un amministratore di sistema Linux, potresti non volere altri nel tuo reparto IT, che hanno accesso fisico al server, cambia qualcosa dal menu del bootloader di GRUB che viene visualizzato durante l'avvio del sistema.
GRUB è la terza fase del processo di avvio di Linux di cui abbiamo discusso in precedenza.
Le funzionalità di sicurezza di GRUB ti consentono di impostare una password per le voci di grub. Una volta impostata una password, non puoi modificare alcuna voce di grub o passare argomenti al kernel dalla riga di comando di grub senza inserire la password.
Si consiglia vivamente di impostare la password GRUB su tutti i sistemi di produzione critici come spiegato in questo articolo.
1. Usa il comando grub password in grub.conf
Su un sistema in cui GRUB non è protetto con la password, il seguente messaggio verrà visualizzato direttamente sotto il menu di GRUB durante l'avvio del sistema.
Come si vede da questo messaggio, chiunque si trovi davanti alla console a riavviare il server, può modificare i comandi di grub, o anche modificare gli argomenti del kernel, cosa che probabilmente causerà problemi, se qualcuno che non sa cosa sta facendo, gioca con questo sui sistemi di produzione.
Use the up-arrow and down-arrow keys to select which entry is highlighted. Press enter to boot the selected OS, 'e' to edit the commands before booting, 'a' to modify the kernel arguments before booting, or 'c' for a command-line
/boot/grub/grub.conf contiene informazioni sulle voci visualizzate nel menu di GRUB durante l'avvio del sistema. Su alcuni sistemi, /etc/grub.conf è un collegamento simbolico a /boot/grub/grub.conf
Aggiungi la seguente riga "password" al file grub.conf.
$ cat /etc/grub.conf default=0 timeout=15 password GrbPwd4SysAd$ ..
Una volta che il comando "password" è stato aggiunto a grub.conf, il seguente messaggio verrà visualizzato proprio sotto il menu di GRUB durante l'avvio del sistema.
Come puoi vedere da questo messaggio, senza inserire la password di GRUB che hai fornito in grub.conf, nessuno può modificare i comandi di grub o modificare gli argomenti del kernel. Tutto quello che possono fare è selezionare una delle voci visualizzate e avviare da qui.
Use the up-arrow and down-arrow keys to select which entry is highlighted. Press enter to boot the selected OS or 'p' to enter a password to unlock the next set of features.
2. Cripta la password di grub usando grub-crypt
Durante la lettura della voce precedente, probabilmente hai pensato a te stesso:Sì, il grub è protetto da una password. Ma la password stessa è in chiaro nel file grub.conf, il che vanifica lo scopo.
È possibile utilizzare l'utilità grub-crypt per creare una password crittografata.
grub-crypt otterrà la password in chiaro dall'utente e visualizzerà la password crittografata come mostrato di seguito.
# grub-crypt Password: GrbPwd4SysAd$ Retype password: GrbPwd4SysAd$ ^9^32kwzzX./3WISQ0C
Modificare il file grub.conf, aggiungere la voce "password" con l'argomento –encrypted come mostrato di seguito. Basta copiare l'output del comando grub-crypt e incollarlo dopo l'argomento "–encrypted" nella voce della password.
$ cat /etc/grub.conf default=0 timeout=15 password --encrypted ^9^32kwzzX./3WISQ0C ..
Per impostazione predefinita, il comando grub-crypt crittografa la password utilizzando l'algoritmo SHA-512. Puoi anche crittografare la password utilizzando algoritmi SHA-256 o MD5 come mostrato di seguito.
# grub-crypt --sha-256 # grub-crypt --md5
Puoi anche usare md5crypt per crittografare la password. In tal caso, dovresti usare "password –md5-crypted-password" nel tuo file grub.conf.
All'interno della sezione script del tuo file grub.conf, se specifichi "lock", grub eseguirà il resto dei comandi in quella sezione della voce di menu solo se l'utente è autenticato.
3. Carica un file diverso per il menu Grub
Per impostazione predefinita, le voci nel menu di GRUB durante l'avvio del sistema vengono prelevate dal file grub.conf. cioè in base alla riga che inizia con la voce "titolo" dal file grub.conf.
Se stai testando qualche variazione di un nuovo kernel, potresti voler creare un file di menu di grub separato che contenga le voci di menu personalizzate. Durante l'avvio del sistema, per impostazione predefinita mostrerà solo le voci del file grub.conf. Tuttavia, quando inserisci una password, puoi indicare a grub di caricare le voci di menu personalizzate.
Ciò si ottiene passando il nome del file del menu personalizzato al comando password come mostrato di seguito nel file grub.conf.
Nell'esempio seguente, caricherà e visualizzerà le voci del menu di grub da /etc/mymenu.lst quando fornirai la password durante l'avvio del sistema.
$ cat /etc/grub.conf default=0 timeout=15 password --encrypted ^9^32kwzzX./3WISQ0C /etc/mymenu.lst ..