LINUX

Cómo configurar la contraseña para el menú Grub

0 562 5 minutos de lectura

comida

Un cargador de arranque es una parte integral de la computadora. En informática, el arranque es un conjunto de operaciones que realizan los sistemas informáticos cuando están encendidos. Hoy en día, las computadoras modernas tardan una décima de segundo y, por lo general, realizan una autoprueba de encendido (POST). Un cargador de arranque es un programa de computadora que carga el sistema operativo principal de la computadora después de completar las autopruebas.

Hoy en día, la mayor parte de la distribución de Linux usa GRUB 2 como cargador de arranque. GRUB 2 (GNU Grand Unified Boot loader) es un paquete de cargador de arranque del Proyecto GNU.

Configuración del GRUB2 basada en los archivos siguientes

Los scripts de GRUB 2 buscan en la computadora del usuario y crean un menú de arranque basado en los sistemas operativos que encuentran los scripts. Para reflejar las últimas opciones de arranque del sistema, el menú de arranque se reconstruye automáticamente cuando se actualiza el kernel o se agrega un nuevo kernel. Sin embargo, los usuarios pueden querer crear un menú que contenga entradas específicas o tener las entradas en un orden específico. GRUB 2 permite la personalización básica del menú de inicio para dar a los usuarios el control de lo que realmente aparece en la pantalla.

GRUB 2 usa una serie de scripts para construir el menú. Estos se encuentran en el /etc/grub.d/ directorio:

  • 00_header, que carga la configuración de GRUB 2 desde el archivo / etc / default / grub.
  • 10_linux, que ubica los núcleos en la partición predeterminada de Hat Enterprise Linux.
  • 30_os-prober, que crea entradas para sistemas operativos que se encuentran en otras particiones.
  • 40_personalizado, una plantilla que se utiliza para crear entradas de menú adicionales.

Guiones de la /etc/grub.d/ Los directorios se leen en orden alfabético y, por lo tanto, se les puede cambiar el nombre para cambiar el orden de inicio de entradas de menú específicas.

1) Establecer la contraseña de arranque de Grub en un sistema basado en Debian

Con Grub 2, no hay /boot/grub/menu.lst. Ha sido reemplazado por /boot/grub/grub.cfg. grub.cfg es sobrescrito por ciertas actualizaciones del paquete Grub 2, siempre que se agrega o elimina un kernel, o cuando el usuario ejecuta update-grub.

La activación de la protección por contraseña de Grub 2 debe respetar las siguientes condiciones:

  • los usuarios autorizados deben estar identificados,
  • sus contraseñas deben estar designadas,
  • Se deben identificar los elementos del menú que se protegerán.

Los usuarios y las contraseñas se agregan manualmente al /etc/grub.d/00_header expediente *. El archivo debe ser editado por un usuario de Ubuntu con autoridad administrativa (root) ya que es un archivo del sistema. La información de usuario / contraseña se agrega automáticamente al archivo de configuración del menú de GRUB 2 (grub.cfg) cuando se ejecuta update-grub.

una. Generar contraseña cifrada

Para que GRUB requiera una contraseña para iniciar el sistema, tenemos que generar una contraseña encriptada usando el comando grub-mkpasswd-pbkdf2. Esta protección con contraseña cifrada ha estado disponible en todas las versiones de Grub 2

# grub-mkpasswd-pbkdf2
Enter password: 
Reenter password: 
PBKDF2 hash of your password is grub.pbkdf2.sha512.10000.380AD91E6C36BB4018B5CABDAFF5CABC52A16B6EFF503B6BB2E21199C006C526AEE3A2FF8CF41F9A07AEFB1E8E2275ABB44C41B1429B9C5D509786E2B57A51DA.989F1E9FAC061899E1BB8CB38D2119B26E6CE79A5CBB637E5A611AE099EBBF7CD9BCF1A3EC516CE0E4AD007B7DF8E679220BC845E07E440F134DED2537081F54

Este comando convierte su contraseña deseada en un código alfanumérico muy largo que se coloca en los archivos GRUB 2. Su contraseña real ya no es visible en los scripts de Grub 2. Si bien el acceso físico a una computadora puede eludir el menú de GRUB 2, el cifrado hace que sea mucho más difícil para el hacker casual determinar las contraseñas de su menú.

B. Establecer la contraseña en el archivo de configuración principal de GRUB2

La información de superusuario / usuario y la contraseña no tienen que estar contenidas en el /etc/grub.d/00_header expediente. La información se puede colocar en cualquier /etc/grub.d archivo siempre que ese archivo esté incorporado en grub.cfg. El usuario puede preferir ingresar estos datos en un archivo personalizado, como /etc/grub.d/40_custom por lo que no se sobrescribe incluso cuando se debe actualizar el paquete Grub.

# cp /etc/grub.d/40_custom /etc/grub.d/40_custom.old

Abra el archivo de configuración de GRUB con un editor de texto y agregue el contenido a continuación al final. Entonces reemplace grub.pbkdf2.sha512.xxxxx con el valor de la contraseña cifrada que se muestra arriba

# vim /etc/grub.d/40_custom

set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.380AD91E6C36BB4018B5CABDAFF5CABC52A16B6EFF503B6BB2E21199C006C526AEE3A2FF8CF41F9A07AEFB1E8E2275ABB44C41B1429B9C5D509786E2B57A51DA.989F1E9FAC061899E1BB8CB38D2119B26E6CE79A5CBB637E5A611AE099EBBF7CD9BCF1A3EC516CE0E4AD007B7DF8E679220BC845E07E440F134DED2537081F54

C. Actualizar el archivo grub

Ejecute la configuración del comando para generar el nuevo archivo grub.cfg

# grub-mkconfig -o /boot/grub/grub.cfg
Generating grub configuration file ...

Ahora puede reiniciar el sistema, que le pedirá el usuario (root) y la contraseña.

Por seguridad, cuando ingresa la contraseña, no aparece nada en la pantalla. Cuando termine, simplemente valide y el sistema se iniciará. La protección por contraseña para el arranque está habilitada y solo el superusuario designado puede editar un elemento de menú de Grub 2 presionando «mi«o acceda a la línea de comando de GRUB 2 presionando»C«.

2) Establezca la contraseña de Grub solo para modificar las entradas del menú en Centos y RHEL 7.1

Para establecer una contraseña para otras distribuciones con GRUB2, debe usar grub2-mkpasswd-pbkdf2 mando.

una. Generar contraseña cifrada

Nota la «grub2-xx « en vez de «grub-xx» como para el sistema Debian.

# grub2-mkpasswd-pbkdf2

En RHEL 7.1 o RHEL 7.0, también puede usar el mismo comando.

B. Establecer la contraseña en el archivo de configuración principal de GRUB2

El procedimiento es el mismo que los pasos para el sistema Debian.

# cp /etc/grub.d/40_custom /etc/grub.d/40_custom.old
# vim /etc/grub.d/40_custom

C. Actualizar el archivo grub

Aquí usaremos el comando grub2-mkconfig. Tenga en cuenta también el «grub2-X» en vez de «grub-x» como para el sistema Debian

# grub2-mkconfig -o /boot/grub2/grub.cfg
Generating grub configuration file ...

La protección con contraseña de Grub está habilitada solo para el superusuario designado que puede editar un elemento de menú de Grub 2 presionando «mi» o «C».

3) Establezca la contraseña de Grub para modificar y arrancar el menú de entradas en Centos 7 y RHEL 7.2

En RHEL 7.2 (y superior) y Centos 7, GRUB 2 también ofrece protección por contraseña con el comando grub2-setpassword.

una. Establecer contraseña para modificar el menú de entradas

Establecer una contraseña con el grub2-setpassword evita que las entradas del menú se modifiquen sin autorización, pero no se inicien sin autorización:

# grub2-setpassword
Enter password:
Confirm password:

En este paso, la protección con contraseña de Grub está habilitada solo para el superusuario designado que puede editar un elemento de menú de Grub 2 presionando «mi» o «C». Este procedimiento crea una /boot/grub2/user.cfg archivo que contiene el hash de la contraseña. El usuario de esta contraseña, raíz, se define en el /boot/grub2/grub.cfg expediente. Con este cambio, la modificación de una entrada de arranque durante el arranque requiere que especifique el raíz nombre de usuario y contraseña.

No agregue manualmente la cuenta de superusuario y la contraseña al archivo grub.cfg porque el comando grub2-mkconfig sobrescribirá este archivo al volver a generarlo.

B. Establecer contraseña para iniciar el menú de entradas

Ahora, para configurar la contraseña de grub2 para modificar y arrancar el menú de entradas también, debe continuar con los siguientes pasos

  • abre el /boot/grub2/grub.cfg expediente
  • busque la entrada de inicio que desea proteger con contraseña buscando líneas que comiencen con menuentry
  • eliminar el --unrestricted parámetro del bloque de entrada de menú
# vim  /boot/grub2/grub.cfg

por ejemplo, la línea

debería verse como

Ahora reinicie y se le pedirá la contraseña cuando elija la primera entrada de menú predeterminada y cuando intente editar el menú de entradas presionando «mi» o «C».

4) Establezca una contraseña para distribuciones antiguas con GRUB heredado

Para distribuciones antiguas que usan grub heredado, es posible establecer la contraseña de grub con el comando grub-md5-crypt:

# grub-md5-crypt

Luego debe modificar el archivo /boot/grub/menu.lst para insertar la contraseña cifrada

# vim /boot/grub/menu.lst

Conclusión

Para establecer la contraseña de grub, primero realice las personalizaciones que desee en la configuración de GRUB antes de hacer cualquier otra cosa. Es posible asegurar el proceso de arranque y la modificación del menú de entradas con el proceso de contraseña de grub. Solo necesita saber exactamente lo que necesita. La herramienta grub2-setpassword se agregó en Red Hat Enterprise Linux 7.2 y ahora es su método estándar para configurar contraseñas GRUB 2.

Publicaciones relacionadas

Cómo medir el consumo de Internet desde una terminal Linux

4 comandos para apagar Linux desde la terminal

Cómo sincronizar la hora usando el servidor NTP en Ubuntu

Crear / montar / administrar el sistema de archivos XFS en Fedora 22

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar