Protegiendo nuestro Gestor de Arranque

Como ya antes había publicado en la entrada titulada Perdi mi contraseña de Root, los gestores de arranque mas comunes (y/o conocidos) tienen una opción que es muy útil cuando olvidamos nuestra contraseña, pero que puede llegar a ser un riesgo para la seguridad de nuestras maquinas si nos olvidamos de configurarlas correctamente.

En esta entrada vamos a contar como asegurar nuestro gestor de arranque.


GRUB

Este quizá sea el gestor de arranque mas usado hoy en día. Viene por defecto en muchas distros, algunas pueden ser OpenSuSE, *buntu, Debian, Fedora, Mandriva y un largo etcétera... que son las distros mas populares de hoy en dia.

Para poner clave a nuestro grub es necesario seguir estos pasos:

Editamos nuestro menu.lst (/boot/grub/menu.lst), si estamos corriendo con el grub de Debian/*buntu, vamos a ver algo asi:

## password ['--md5'] passwd
# If used in the first section of a menu file, disable all interactive editing
# control (menu entry editor and command-line) and entries protected by the
# command 'lock'
# e.g. password topsecret
# password --md5 $1$7MRuA/$dg56WYHRJNiDPDBRlgP83.
# password topsecret

Descomentamos (sacamos el signo #, en otras palabras) donde dice password --md5, antes ejecutamos en una consola

# grub-md5-crypt

Este comando nos va a general una clave encriptada, que es el que vamos a usar para que nos pida contraseña en caso de que se quiera cambiar las opciones de boteo a nuestro grub. Un ejemplo de uso:

debian:/home/asclepio# grub-md5-crypt ===> ejecutamos el comando
Password: ===> nos pide la contraseña
Retype password: ===> repetimos la contraseña (verificación)
$1$pLGFN$4SWNMB3/oxWOf57IUhPIv. ===> nos entraga contraseña encriptada.

Una vez que tenemos la contraseña encriptada solo basta copiarla y pegarla despues de password --md5 en nuestro menu.lst, de esta forma:

password --md5 $1$pLGFN$4SWNMB3/oxWOf57IUhPIv.

En caso que nuestro grub no tenga la opcion ya escrita como si lo esta en el grub de Debian, simplemente lo agregamos a mano, todo lo que se necesita es la linea password --md5.

Otra opcion que nos presenta grub es la opcion lock, con ella lo que hace es que no nos va a dejar botear el S.O. a menos que escribamos la clave, en otras palabras, nos va a pedir contraseña siempre, independientemente de si se quiere editar las opciones de boteo o simplemente se quiere entrar a linux. No la recomiendo porque puede resultar molesta, ademas esta la situacion posible de que escribamos o hayamos hecho algo mal cuando pusimos la clave en el grub y no acepte la contraseña. Lo que se traduce en que ya no vamos entrar a nuestro querido linux :(

Es por esto que no recomiendo esa opcion. Pero si aun se quiere implementar basta con escribir lock debajo de password --md5, de esta forma:

# e.g. password topsecret
password --md5 $1$pLGFN$4SWNMB3/oxWOf57IUhPIv.
lock

LILO

El otro gestor de arranque que traen algunas distros por defecto. Es el caso de mi queridisimo Slackware!! :D

Protejer el Lilo es aun mas fácil, simplemente editamos nuestro lilo.conf (/etc/lilo.conf) de esta forma:

# LILO configuration file
# generated by 'liloconfig'
#
# Start LILO global section
boot = /dev/hda
message = /boot/boot_message.txt
prompt
timeout = 1200

Agregando dos lineas, estas:

password= /pass elegido/
restricted

A diferencia de Grub, en Lilo no encriptamos el la contraseña, obligandonos a restringir tambien el archivo lilo.conf solo para que pueda ser leida por el usuario root. Para esto simplemente le cambiamos los permisos con chmod de esta forma:

chmod 400 /etc/lilo.conf

Y ya esta, nos queda asi el Lilo protegido

# LILO configuration file
# generated by 'liloconfig'
#
# Start LILO global section
boot = /dev/hda
message = /boot/boot_message.txt
prompt
timeout = 1200
password=asclepio
restricted

Ahora ejecutamos el comando # lilo en consola para actualizar nuestro Lilo y ya está, aseguramos nuestro gestor de arranque. :)