Cómo proteger Grub

LockAyer Cesarius publicaba un post en el que nos mostraba cómo recuperar una contraseña olvidada en Ubuntu (en realidad en Linux en general) editando el Grub mediante en el booteo.

¿Cómo podemos protegernos?

Protegeremos con una contraseña el Grub. Primero generaremos la contraseña encriptada cifrada. Abrimos consola e ingresamos al Grub:

$grub
       [ Minimal BASH-like line editing is supported.   For
         the   first   word,  TAB  lists  possible  command
         completions.  Anywhere else TAB lists the possible
         completions of a device/filename. ]
grub> md5crypt
Password: ********
Encrypted: $1$1ksAF$zoqKrlytw7Qzd2pxlUCs70
grub>quit

Lo importante de acá es el código generado (en el ejemplo $1$1ksAF$zoqKrlytw7Qzd2pxlUCs70) que no viene a ser otra cosa que nuestra contraseña cifrada mediante el algoritmo MD5.

1. Protección de edición de Grub durante el menú de booteo.

De esta forma, tendremos que ingresar una contraseña si es que queremos editar las opciones de Grub durante el booteo. Abrimos para edición el archivo de configuración de Grub (yo uso Kate, pero pueden usar Gedit o su editor de texto preferido)

sudo kate /boot/grub/menu.lst

Ubicamos la siguiente sección:

## password ['--md5'] passwd
# If used in the first section of a menu file, disable all interactive editing
# control (menu entry editor and command-line)  and entries protected by the
# command 'lock'
# e.g. password topsecret
#      password --md5 $1$gLhU0/$aW78kHK1QfV3P2b2znUoe/
# password topsecret

Y quitamos el comentario a la línea # password --md5 $1$gLhU0/$aW78kHK1QfV3P2b2znUoe/ y reemplazamos el código por nuestra clave cifrada que acabamos de generar (en este ejemplo $1$1ksAF$zoqKrlytw7Qzd2pxlUCs70)

Queda de esta manera:

## password ['--md5'] passwd
# If used in the first section of a menu file, disable all interactive editing
# control (menu entry editor and command-line)  and entries protected by the
# command 'lock'
# e.g. password topsecret
password --md5 $1$1ksAF$zoqKrlytw7Qzd2pxlUCs70
# password topsecret

Luego de guardar los cambios y reiniciar el sistema, se nos presentará el menú normal de Grub, con la diferencia de que para poder entrar al modo de edición tendremos que ingresar nuestra contraseña (ojo es la contraseña que pusimos en el paso inicial, no es la contraseña cifrada). Para poder escribir nuestra contraseña presionamos antes la letra p. Si es que no ingresamos una contraseña, podremos cargar en forma normal nuestros sistemas operativos (pero no podremos entrar al modo edición).

2. Protección de booteo de determinado sistema operativo

Esto se puede usar como seguridad adicional ya que evitará bootear determinado kernel o sistema operativo si es que no se ha ingresado la contraseña (puede usarse, por ejemplo, para proteger el booteo del Modo de Recuperación). Luego de seguir los pasos del punto 1, ubicamos en menu.lst la sección de kernels / sistemas operativos que tengamos instalados. Por ejemplo, para mi caso:

title		Ubuntu 7.10, kernel 2.6.22-14-generic
root		(hd1,1)
kernel		/boot/vmlinuz-2.6.22-14-generic root=UUID=770b351a-887e-43f5-9049-c667746e49b3 ro quiet splash
initrd		/boot/initrd.img-2.6.22-14-generic
quiet

Debajo de la línea initrd agregamos la línea lock que indica a Grub que se necesita una contraseña para poder bootear dicho kernel. Queda así:

title		Ubuntu 7.10, kernel 2.6.22-14-generic
root		(hd1,1)
kernel		/boot/vmlinuz-2.6.22-14-generic root=UUID=770b351a-887e-43f5-9049-c667746e49b3 ro quiet splash
initrd		/boot/initrd.img-2.6.22-14-generic
lock
quiet

Debemos agregar dicha línea para cada kernel que deseemos proteger. Guardamos los cambios y reiniciamos el sistema.

¿Mayor seguridad?

Lo anterior no protege en caso alguien use algún Live CD, por lo que es recomendable también configurar la BIOS para que cargue primero el disco duro y protegerla con contraseña.

Posted on Noviembre 23, 2007 at 12:51 am.

Filed under GNU/Linux, Seguridad, Tutoriales y Tips, Ubuntu/Kubuntu y etiquetado , , .

Bookmark the permalink. Follow any comments here with the RSS feed for this post.

Escriba un comentario o deje un trackback: URL del Trackback.

3 Comentarios

  1. SEO Anónimo
    Comentado Noviembre 23, 2007 a las 2:28 am | Permalink

    Sobre la cadena de enlaces en Resolutivos.com

    http://www.resolutivos.com/actualizacion-cadena-de-enlaces/

    Hola estimado webmaster, solo te mandaba este correo para pedirte que de favor retires los enlaces de la cadena, ya que me

    parece que los han timado a los participantes, pues el unico beneficio realmente son los blogs del autor, ya que sus blogs

    unicamente los estan enlazando. Te lo demostrare:

    # Youtube | http://www.zonavideosyoutube.com
    # Naruto | http://universonaruto.com/
    # Britney Spears | http://britneycachonda.com/

    Estos 3 sitios del principio de la cadena ni siquiera tienen la cadena por ninguna parte, de hecho el dominio

    zonavideosyoutube.com ya ni siquiera esta online. En realidad si te fijas detenidamente el enlace apunta hacia:

    http://www.blogvideosyoutube.com/

    Donde obviamente no esta la cadena por ninguna parte (ni en el otro se encontraba la cadena).

    Asi que te parece justo que estes enlazando para que se posicione sin siquiera devolver los enlaces y no ser claro en las

    reglas?

    Si lo piensas bien unicamente estas enlazando sus sitios sin tener algo a cambio, e igualmente puedes seguir la cadena sin

    enlazar los sitios que no la tienen ya que me parece muy injusto no crees?

    De hecho Kanygarcia.blogspot.com tampoco esta enlazando ningun sitio.

    Obviamente te preguntaras quien soy, bueno la verdad es que soy digamoslo asi un seo anónimo, al cual le molestan este tipo

    de practicas, pero ahora en la forma en que los estan engañando me parece de lo mas ruin que puede haber, pues te piden

    enlaces sabiendo que tu tienes la confianza de que el administrador a checado que todo sea justo, pero no lo es asi ya que

    varios sitios no tienen sus enlaces.

    Saludos y espero rectifiques con lo de la cadena, que al unico que pueden penalizar para acabarla de joder… es a ti, ya que

    el no esta realizando los enlaces.

    SEO Anónimo

    Disculpa offtopic.

  2. Koki
    Comentado Noviembre 23, 2007 a las 11:27 am | Permalink

    Bueno, se puede usar el “nofollow”

  3. oscar
    Comentado Noviembre 30, 2007 a las 6:34 pm | Permalink

    Muy interesante, hace meses sabía ese pequeño secreto para poder cambiar la contraseña desde el grub, pero me había puesto a pensar demasiado, pues utilizo GNU/Linux principalmente por la seguridad, y me parecia bastante estúpido que con tan poco se pudiera vulnerar. Hoy mismo me pongo a hacer eso que dices , en mi PC.

    Saludos

3 Trackbacks

  1. Por Blogging semanal XXI | Weblog sobre tecnología, diseño, opinión y más | Tinta Fantasma en Noviembre 25, 2007 a las 1:18 pm

    [...] el módem , protegiendo el grub [...]

  2. Por VOX - Nuestra Voz Latina se escucha » Perú: Resumen semanal en Noviembre 25, 2007 a las 10:48 pm

    [...] el módem , protegiendo el grub [...]

  3. Por KGRUBEditor - Un editor de Grub para KDE4 at El Módem en Febrero 27, 2008 a las 1:37 am

    [...] tenemos una pestaña en donde podremos configurar las distintas opciones: tiempo de espera, protección por contraseña, SO a cargar por defecto, agregarle una imagen de fondo o modificar el color, [...]

Escribe un Comentario

Su correo nunca será publicado ni compartido. Los campos requeridos están marcados *

*
*
CC 2009 El Módem. Some rights reserved.