Proteger GRUB con Contrase├▒a ­čÜÇ KAROK WEB SEO Ôćł Saltar al contenido

Proteger GRUB con Contrase├▒a

1 febrero 2021

Ծ Proteger GRUB con Contrase├▒a ­čÜÇ KAROK WEB SEO Ôćł

Proteger GRUB con Contrase├▒a

Tabla de contenidos

Es una buena medida de seguridad configurar una contrase├▒a al servicio de grub para que ning├║n atacante pueda modificar la configuraci├│n de boot durante el reboot de un servidor.

A continuaci├│n, lo vamos a hacer en Linux RedHat 8.

Configurar la contrase├▒a en grub

Para establecer una contrase├▒a en grub, ejecutaremos el comando grub2-setpassword.

[[email protected] ~]# grub2-setpassword
Enter password: Confirm password: [[email protected] ~]# 

El comando anterior genera el fichero de seguridad para grub /etc/grub.d/01_users con el siguiente contenido:

[[email protected] grub.d]# cat 01_users #!/bin/sh -e
cat << EOF
if [ -f \${prefix}/user.cfg ]; then source \${prefix}/user.cfg if [ -n "\${GRUB2_PASSWORD}" ]; then set superusers="root" export superusers password_pbkdf2 root \${GRUB2_PASSWORD} fi
fi
EOF
[[email protected] grub.d]#

Como podemos observar, las tres últimas directivas están diciendo que solamente el usuario root puede editar la configuración de grub durante el arranque del sistema.

Esta secci├│n tambi├ęn debe existir dentro del fichero /boot/grub2/grub.cfg, de lo contrario, no funcionar├í la solicitud de contrase├▒a.

Configuracion grub.cfg para la solicitud de contrase├▒a

A continuaci├│n eliminamos la siguiente l├şnea del fichero /etc/grub.d/10_linux:

[[email protected] ~]# cat /etc/grub.d/10_linux |grep -i restri
CLASS="--class gnu-linux --class gnu --class os --unrestricted"
[[email protected] ~]# 

Aplicar la nueva configuraci├│n de grub

Una vez que ya hemos configurado grub, tenemos que aplicar la nueva contraseña. Dependiendo de si nuestro sistema usa BIOS o UEFI, el comando a ejecutar será uno o otro. Veamos un ejemplo:

[[email protected] ~]# grub2-mkconfig -o /boot/grub2/grub.cfg Generating grub configuration file ...
done
[[email protected] ~]#
  • UEFI: Con UEFI apuntaremos a otro path distinto:
grub2-mkconfig -o /boot/efi/EFI/redhat/grub.cfg

Comprobar que se ha establecido correctamente la contrase├▒a de grub

Para comprobar que la configuraci├│n aplicada es correcta, vamos a rebotar nuestro sistema e intentar editar la configuraci├│n de arranque:

Establecer contrase├▒a a grub

Como vemos, nos ha pedido la contrase├▒a.

Eliminar la contrase├▒a de Grub

Para eliminar la contrase├▒a de grub, tendremos que eliminar el fichero 01_users y volver a aplicar la configuraci├│n de grub.

[[email protected] grub.d]# rm 01_users rm: remove regular file '01_users'? y
[[email protected] grub.d]# grub2-mkconfig -o /boot/grub2/grub.cfg
Generating grub configuration file ...
done
[[email protected] grub.d]# 

Te puede interesar