El cargador de arranque GRUB almacena la contraseña en un archivo de texto sin formato, por lo que se requiere cualquier forma cifrada de la contraseña. Para generar una contraseña encriptada podemos usar grub-crypt dominio. Hasta ahora hemos usado el comando grub-md5-crypt . Pero ahora se considera que MD5 está roto. grub-crypt usa SHA-256 o SHA-512 hashes, que se consideran más seguros. La sintaxis/uso general del comando grub-crypt se muestra a continuación:
# grub-crypt --help Usage: grub-crypt [OPTION]... Encrypt a password. -h, --help Print this message and exit -v, --version Print the version information and exit --md5 Use MD5 to encrypt the password --sha-256 Use SHA-256 to encrypt the password --sha-512 Use SHA-512 to encrypt the password (default) Report bugs to [bug-grub@gnu.org]. EOF
Uso de hashes SHA-265 o SHA-512
1. Como usuario raíz, use el comando grub-crypt para generar un hash de contraseña. Escriba la contraseña y vuelva a escribirla para confirmarla.
grub-crypt Password: Retype password: $6$GXGrYVEnbKXAnQoT$p64OkyclNDt4qM2q47GMsgNxJxQaclNs79gvYYsl4h07ReDtJpt5P5kQn1KQ52u2eW8pKHTqcG50ffv0UlRcW0
2. Copie la contraseña cifrada devuelta en la última línea de la salida, que parecería una cadena larga codificada. Péguelo antes de la instrucción TITLE en /boot/grub/grub.conf archivo, así:
# vi /boot/grub/grub.conf .... default=0 timeout=5 splashimage=(hd0,0)/grub/splash.xpm.gz hiddenmenu password --encrypted $6$GXGrYVEnbKXAnQoT$p64OkyclNDt4qM2q47GMsgNxJxQaclNs79gvYYsl4h07ReDtJpt5P5kQn1KQ52u2eW8pKHTqcG50ffv0UlRcW0 title Red Hat Enterprise Linux (2.6.32-358.el6.x86_64) ....Nota:asegúrese de que los permisos del archivo /boot/grub/grub.conf estén configurados en solo lectura para no permitir que nadie lo modifique.
# ls -lrt /boot/grub/grub.conf -rw-------. 1 root root 845 Oct 11 14:43 /boot/grub/grub.conf
3. Una vez hecho esto, los arranques futuros requerirán la contraseña antes de que GRUB le permita editar las opciones de arranque.
Uso de contraseñas de texto sin formato
Aunque no es seguro, pero si aún desea establecer una contraseña GRUB de texto sin formato legible por el usuario, use el siguiente procedimiento:
1. Edite /boot/grub/grub.conf en un editor de texto y agregue una nueva línea "CONTRASEÑA-VA-AQUÍ" antes de la primera estrofa del título, por ejemplo:
default=0 timeout=5 splashimage=(hd0,0)/grub/splash.xpm.gz hiddenmenu password my-not-so-hidden-password title Red Hat Enterprise Linux ...
2. Asegúrese de que los permisos en grub.conf no permitan que nadie más que root lo lea:
# chmod 600 /boot/grub/grub.conf # ls -l /boot/grub/grub.conf -rw------- 1 root root 678 Feb 02 14:12 /boot/grub/grub.conf
Uso de hashes MD5
Como se dijo anteriormente en la publicación, se considera que MD5 está roto. Pero si aún desea usarlos, siga el procedimiento a continuación:
1. Ejecute grub-md5-crypt para generar la contraseña cifrada:
# grub-md5-crypt Password: Retype password: $1$vweqo$CLFlozZ6ELHjGmL.0.37..
Agregue una nueva línea "contraseña –md5 HASH-VA-AQUÍ" antes de la primera línea de título, por ejemplo:
default=0 timeout=5 splashimage=(hd0,0)/grub/splash.xpm.gz hiddenmenu password --md5 $1$vweqo$CLFlozZ6ELHjGmL.0.37.. title Red Hat Enterprise Linux ...
Como último paso de práctica recomendada, asegúrese de que los permisos en grub.conf no permitan que nadie más que root lo lea:
# chmod 600 /boot/grub/grub.conf # ls -l /boot/grub/grub.conf -rw------- 1 root root 678 Jan 29 18:27 /boot/grub/grub.conf
Reinicie el sistema e intente presionar p para ingresar la contraseña para desbloquear y habilitar las siguientes funciones en la lista de grub.