Asegurar GRUB

De MEPIS Documentation Wiki

Por defecto, GRUB permite a los usuarios editar los comandos de arranque. Esto puede suponer un grave agujero de seguridad en caso de que suponga un problema que alguien pueda arrancar como superusuario en modo línea de comandos (como por ejemplo en un kiosko o un ordenador situado en un laboratorio), dado que cualquiera puede arrancar el ordenador con nivel de ejecuci´ción 1 o escribir /bin/bash and get y obtener una consola de superusuario sin introducir ninguna contraseña.

Sin embargo GRUB muchas opciones flexibles de seguridad. El primer paso es asegurar la línea de comandos de grub con una contraseña.

1. Abrir un terminal y cambiar a modo superusuario.
2. Escribir grub para entrar en la línea de comandos de grub
3. Escribir md5crypt y pulsar enter. Se pedirá una contraseña.
4. Introducir la contraseña que se desea utilizar y presionar enter. Se obtendrá una larga tira de caracteres que es la contraseña cifrada. Seleccionar y copiar en el portapapeles.
5. Escribir Ctrl-c para salir de la consola de grub
6. Abrir /boot/grub/menu.lst con el editor que se desee.
7. Añadir la siguiente líne en algún sitio cerca del comienzo del fichero:

   password --md5

8. Pegar la contraseña cifrada al final de la línea con un espacio detrás de "md5".

Esto evitará que los usuarios editen la línea de comandos pero no afectará al proceso normal de arranque. Esto hará que GRUB funcione en modo texto, dado que el módo gráfico no funciona con contraseñas.

GRUB también permite asegurar ciertas entradas solicitando la contraseña para que se arranquen. Para hacer esto, simplemente hace falta editar la entrada correspondiente y añadir la palabra locked en una línea independiente.