Como proteger a edição do GRUB no boot e controlar o uso de um kernel específico.

[facebook_like_button]

Olá

       No seguimento do artigo anterior, aqui vai ser abordado o tema: Como prevenir que o procedimento de password recovery no RedHat linux seja usado.Na realidade é bastante simples (sem envolver intervenção/portecção a nível físico/hardware), o que vamos fazer é colocar uma password que será pedida quando tentamos usar o grub em modo de edição no boot, e como bónus irei mostrar como usar uma password para prevenir que alguem faça boot de um dado kernel.

      Para começar vamos ver onde fica o ficheiro que vamos editar para fazer com que tudo resulte. O ficheiro é o que configura o GRUB, o GRUB é o bootloader do RedHat, um boot loader controla o processo de boot do sistema, o ficheiro é este: /boot/grub/grub.conf , vamos usar o nosso editor de texto preferido para edita-lo, mas antes disso temos que decidir que password usar, neste caso usarei a password “grub” sem as aspas, e decidiremos também que tipo de password vamos usar, sem em “clear text” se “protegida”, se usarmos clear text a password estará visivel no ficheiro de configuração do grub, se for protegida ficará indecifrável, vamos usar o método mais seguro. Para isso vamos á consola do sistema e como root fazemos o comando: grub-crypt ,o resultado está abaixo:grub-crypt

 

Eu digitei a palavra grub quando foi solicitada e escrevi de novo na confirmação, o resultado foi a password protegida, nós vamos usar a “string” fornecida: $6$24J264I11WWMAMx/$TunIHT43A62Dgp1kMisgEE4kTpipOiDimvrBRzdCBbsV6fSZtPzhTSr77w2sPjKZQVkBFwn9IhlGgf1bkJfpg. no ficheiro de configuração do GRUB.

Usando o meu editor preferido o VIM vou enditar o ficheiro de configuração do GRUB, vim /boot/grub/grub.conf . O ficheiro tem este aspecto por exemplo:

 

grug-conf

 

 

 

Agora há duas hipóteses de colocação das passwords. Acima do primeiro parâmetro “title” ou abaixo de um dos titles. Se colocarmos acima protege o modo de edição do GRUB no boot, abaixo do title protege o boot desse kernel.

O exemplo que se segue mostra que vou proteger a edição do GRUB no boot ( como o procedimento usado para entrar em single user mode) e proteger o boot do primeiro kernel, usando o parâmetro password --md5 e copiando de seguida a “sting” extraída do comando grub-crypt.

 

grub-conf2

 

 

Basta gravar o ficheiro fazer reboot e confirmar os resultados. Quando se tenta editar o grub é necessário colocar a password. Quando se tenta fazer boot com o primeiro kernel é-nos pedida a password.

Experimentem.

 

Nuno Brandão RHCE RHCI RHCX

 

Interessado em formação RedHat, veja aqui.: http://formacao.rumos.pt/seccao2.rumos?id=8