💾 Archived View for moribundo.flounder.online › blog › 053_securizando_grub.gmi captured on 2024-12-17 at 10:24:41. Gemini links have been rewritten to link to archived content

View Raw

More Information

-=-=-=-=-=-=-

- ENTRADA 053 -

Securizando Grub

Asegúrese de que nadie pueda entrar, Sr. Doyle
--- Fecha: sáb 19 oct 2024 23:57:32 CEST

Se suele decir que GNU/Linux es más seguro que windows, y quizá sea verdad, pero la seguridad no solo depende del sistema, si no también del que lo administra.

He tenido acceso a ordenadores con GNU/Linux instalado y he podido hacer de todo, como entrar sin saber la contraseña.

Grub proporciona una línea de comandos para ajustar los parámetros del kernel, pero también nos permite arrancar un intérprete de comandos sin ni siquiera hacer login, para, por ejemplo, resetear una contraseña que hemos olvidado:

gemini://moribundo.flounder.online/blog/037_seguridad_grub.gmi

Dándole vueltas a esto, descubrí que se puede bloquear grub con una contraseña, y que es una opción que creo que se debería, al menos, ofrecer en las instalaciones, pero bueno, lo haremos por la puerta de atrás, como todo en este sistema.

Protegiendo grub

El primer paso es editar /boot/grub/grub.cfg y añadir los usuarios que podrán editar las opciones de Grub, separadas por comas si hubiera más de uno, y sus contraseñas para GRUB (no para el sistema):

set supersusers="root,moribundo"

password root su_password

password moribundo su_password

Pero como nos preocupa la seguridad y las contraseñas están en texto plano, es mejor hashear las contraseñas:

$ grub-mkpasswd-pbkdf2

Introduzca la contraseña:

Reintroduzca la contraseña:

El hash PBKDF2 de su contraseña es

grub.pbkdf2.sha512.10000.E1CC4497C5DEB31CE0443E0381
22D2775F44DE6E573FFCC0BF79D5A9BBBEA080F48474332AFADD
253564037E79F99981C740709F4EB38228E2049F180607F6
E36E6F5E0DA9343D1C2B3D0D69644224259
F451178D7CFE99DFF3F2552419C0B

Repetiremos el paso por cada usuario que queramos añadir en el Grub y su contraseña . Copio y pego ese tocho, cambiando password por password_pbkdf2 en el archivo /boot/grub/grub.cfg. Quedará así:

set supersusers="root,moribundo"

password_pbkdf2 root grub.pbkdf2.sha512.10000.E1CC4497C5DEB31

CE0443E038122D2775F44DE6E573FFCC0BF79D5A9BBBEA080F48474332AFA

DD253564037E79F99981C740709F4EB38228E2049F180607F6E36E6F5E0DA

9343D1C2B3D0D69644224259

password_pbkdf2 moribundo grub.pbkdf2.sha512.10000.F99981C74070

4332AFADD22D2775F44DE6E573FFCC0BF79D5A9BBBEA080F484725356403738

228EF451178D7C07F6E36E6F5E0E799F4EBDA9343D1C2B3D0D69644224259F4

178D7CFE99DFF3F2552419C0B

Ahora solo queda actualizar Grub:

grub2-mkconfig -o /boot/grub2/grub.cfg

Y ahora, cuando quieras editar las entradas de Grub, te va a pedir la contraseña.

Tags #grub

â—„ Listado de noticias

â—„â—„ Inicio