Protegiendo nuestro Gestor de Arranque

Protegiendo nuestro Gestor de Arranque

Como ya antes había publicado en la entrada titulada Perdi mi contraseña de Root, los gestores de arranque mas comunes (y/o conocidos) tienen una opción que es muy útil cuando olvidamos nuestra contraseña, pero que puede llegar a ser un riesgo para la seguridad de nuestras maquinas si nos olvidamos de configurarlas correctamente.

En esta entrada vamos a contar como asegurar nuestro gestor de arranque.


GRUB

Este quizá sea el gestor de arranque mas usado hoy en día. Viene por defecto en muchas distros, algunas pueden ser OpenSuSE, *buntu, Debian, Fedora, Mandriva y un largo etcétera... que son las distros mas populares de hoy en dia.

Para poner clave a nuestro grub es necesario seguir estos pasos:

Editamos nuestro menu.lst (/boot/grub/menu.lst), si estamos corriendo con el grub de Debian/*buntu, vamos a ver algo asi:

## password ['--md5'] passwd
# If used in the first section of a menu file, disable all interactive editing
# control (menu entry editor and command-line) and entries protected by the
# command 'lock'
# e.g. password topsecret
# password --md5 $1$7MRuA/$dg56WYHRJNiDPDBRlgP83.
# password topsecret

Descomentamos (sacamos el signo #, en otras palabras) donde dice password --md5, antes ejecutamos en una consola

# grub-md5-crypt

Este comando nos va a general una clave encriptada, que es el que vamos a usar para que nos pida contraseña en caso de que se quiera cambiar las opciones de boteo a nuestro grub. Un ejemplo de uso:

debian:/home/asclepio# grub-md5-crypt ===> ejecutamos el comando
Password: ===> nos pide la contraseña
Retype password: ===> repetimos la contraseña (verificación)
$1$pLGFN$4SWNMB3/oxWOf57IUhPIv. ===> nos entraga contraseña encriptada.

Una vez que tenemos la contraseña encriptada solo basta copiarla y pegarla despues de password --md5 en nuestro menu.lst, de esta forma:

password --md5 $1$pLGFN$4SWNMB3/oxWOf57IUhPIv.


En caso que nuestro grub no tenga la opcion ya escrita como si lo esta en el grub de Debian, simplemente lo agregamos a mano, todo lo que se necesita es la linea password --md5.

Otra opcion que nos presenta grub es la opcion lock, con ella lo que hace es que no nos va a dejar botear el S.O. a menos que escribamos la clave, en otras palabras, nos va a pedir contraseña siempre, independientemente de si se quiere editar las opciones de boteo o simplemente se quiere entrar a linux. No la recomiendo porque puede resultar molesta, ademas esta la situacion posible de que escribamos o hayamos hecho algo mal cuando pusimos la clave en el grub y no acepte la contraseña. Lo que se traduce en que ya no vamos entrar a nuestro querido linux :(

Es por esto que no recomiendo esa opcion. Pero si aun se quiere implementar basta con escribir lock debajo de password --md5, de esta forma:


# e.g. password topsecret
password --md5 $1$pLGFN$4SWNMB3/oxWOf57IUhPIv.
lock



LILO

El otro gestor de arranque que traen algunas distros por defecto. Es el caso de mi queridisimo Slackware!! :D

Protejer el Lilo es aun mas fácil, simplemente editamos nuestro lilo.conf (/etc/lilo.conf) de esta forma:


# LILO configuration file
# generated by 'liloconfig'
#
# Start LILO global section
boot = /dev/hda
message = /boot/boot_message.txt
prompt
timeout = 1200

Agregando dos lineas, estas:

password= /pass elegido/
restricted

A diferencia de Grub, en Lilo no encriptamos el la contraseña, obligandonos a restringir tambien el archivo lilo.conf solo para que pueda ser leida por el usuario root. Para esto simplemente le cambiamos los permisos con chmod de esta forma:

chmod 400 /etc/lilo.conf

Y ya esta, nos queda asi el Lilo protegido


# LILO configuration file
# generated by 'liloconfig'
#
# Start LILO global section
boot = /dev/hda
message = /boot/boot_message.txt
prompt
timeout = 1200
password=asclepio
restricted

Ahora ejecutamos el comando # lilo en consola para actualizar nuestro Lilo y ya está, aseguramos nuestro gestor de arranque. :)