Cómo proteger GRUB con contraseña en RHEL/CentOS/Fedora Linux


GRand Unified Bootloader (GRUB) es un cargador de arranque predeterminado en todos los sistemas operativos tipo Unix. Como se prometió en nuestro artículo anterior "Cómo restablecer una contraseña de root olvidada", aquí vamos a revisar cómo proteger GRUB con contraseña. Como se mencionó en la publicación anterior, cualquiera puede iniciar sesión en el modo de usuario único y puede cambiar la configuración del sistema según sea necesario. Este es el gran flujo de seguridad. Por lo tanto, para evitar que dicha persona no autorizada acceda al sistema, es posible que necesitemos tener grub con contraseña protegida.

Aquí, veremos cómo evitar que el usuario ingrese al modo de usuario único y cambie la configuración del sistema que puede tener acceso directo o físico al sistema.

Precaución: instamos a realizar una copia de seguridad de sus datos y probarlos bajo su propio riesgo.

Cómo proteger GRUB con contraseña

PASO 1: Cree una contraseña para GRUB, sea un usuario root y abra el símbolo del sistema, escriba el siguiente comando. Cuando se le solicite, escriba la contraseña de grub dos veces y presione Intro. Esto devolverá la contraseña de hash MD5. Cópielo o anótelo.

[[email protected] ~]#  grub-md5-crypt
[[email protected] ~]# grub-md5-crypt
Password: 
Retype password: 
$1$19oD/1$NklcucLPshZVoo5LvUYEp1

Paso 2: Ahora debe abrir el archivo /boot/grub/menu.lst o /boot/grub/grub.conf y agregar la contraseña MD5. Ambos archivos son iguales y tienen un vínculo simbólico entre sí.

[[email protected] ~]# vi /boot/grub/menu.lst

OR

[[email protected] ~]# vi /boot/grub/grub.conf

Nota: Le aconsejo que haga una copia de seguridad de los archivos antes de realizar cambios, si en caso de que algo salga mal, puede revertirlo.

PASO 3: Agregue la contraseña MD5 recién creada en el archivo de configuración de GRUB. Pegue la contraseña copiada debajo de la línea de tiempo de espera, guárdela y salga. Por ejemplo, ingrese la contraseña de línea –md5 anterior.

# grub.conf generated by anaconda
#
# Note that you do not have to rerun grub after making changes to this file
# NOTICE:  You have a /boot partition.  This means that
#          all kernel and initrd paths are relative to /boot/, eg.
#          root (hd0,0)
#          kernel /vmlinuz-version ro root=/dev/sda3
#          initrd /initrd-[generic-]version.img
#boot=/dev/sda
default=0
timeout=5
password --md5 $1$TNUb/1$TwroGJn4eCd4xsYeGiBYq.
splashimage=(hd0,0)/grub/splash.xpm.gz
hiddenmenu
title CentOS (2.6.32-279.5.2.el6.i686)
        root (hd0,0)
        kernel /vmlinuz-2.6.32-279.5.2.el6.i686 ro root=UUID=d06b9517-8bb3-44db-b8c5-7710e183edb7 rd_NO_LUKS rd_NO_LVM rd_NO_MD rd_NO_DM LANG=en_US.UTF-8 SYSFONT=latarcyrheb-sun16 KEYBOARDTYPE=pc KEYTABLE=us crashkernel=auto rhgb quiet
        initrd /initramfs-2.6.32-279.5.2.el6.i686.img
title centos (2.6.32-71.el6.i686)
        root (hd0,0)
        kernel /vmlinuz-2.6.32-71.el6.i686 ro root=UUID=d06b9517-8bb3-44db-b8c5-7710e183edb7 rd_NO_LUKS rd_NO_LVM rd_NO_MD rd_NO_DM LANG=en_US.UTF-8 SYSFONT=latarcyrheb-sun16 KEYBOARDTYPE=pc KEYTABLE=us crashkernel=auto rhgb quiet
        initrd /initramfs-2.6.32-71.el6.i686.img

PASO 4: Reinicie el sistema e inténtelo presionando "p" para ingresar la contraseña para desbloquear y habilitar las siguientes funciones.

Así es como podemos proteger GRUB con contraseña. Háganos saber cómo protege su sistema. a través de comentarios.

Visite las páginas del manual en línea de seguridad de grub para obtener más información en Seguridad de GRUB.