¿Por qué un gestor de arranque de Linux debería tener protección con contraseña?
Las siguientes son las razones principales para proteger con contraseña un cargador de arranque de Linux:
1. Impedir el acceso al modo de usuario único – Si un atacante puede arrancar en modo de usuario único, se convierte en el usuario root.
2. Impedir el acceso a la consola de GRUB – Si la máquina usa GRUB como cargador de arranque, un atacante puede usar la interfaz del editor de GRUB para cambiar su configuración o recopilar información usando el comando cat.
3. Evitar el acceso a sistemas operativos no seguros – Si se trata de un sistema de arranque dual, un atacante puede seleccionar en el momento del arranque un sistema operativo, como DOS, que ignora los controles de acceso y los permisos de archivos.
1. Configurar GRUB2 para solicitar una contraseña solo para modificar entradas
Para solicitar la autenticación de contraseña para modificar las entradas de GRUB 2, siga estos pasos:
1. Ejecute el comando grub2-setpassword como root:
# grub2-setpassword Enter password: Confirm password:
2. Introduzca y confirme la contraseña. Eso es todo al respecto. El hash de la contraseña se almacenará en /boot/grub2/user.cfg archivo en formato cifrado.
3. Con este cambio, la modificación de una entrada de inicio durante el inicio requiere que especifique las credenciales.
2. Configuración de GRUB 2 para solicitar una contraseña para modificar y arrancar entradas
Para solicitar también una contraseña para iniciar una entrada, siga estos pasos después de establecer la contraseña con grub2-setpassword:
1. Abra el /boot/grub2/grub.cfg archivo.
2. Busque la entrada de inicio que desea proteger con contraseña buscando líneas que comiencen con menuentry.
3. Eliminar el –unrestricted parámetro del bloque de entrada del menú.
4. Guarde y cierre el archivo.