Como proteger o GRUB com uma senha (Linux)

Normalmente passamos boa parte do nosso tempo em prevenir o acesso não autorizado às nossas equipes: configuramos firewalls, permissões de usuário, ACLs, criamos senhas fortes, etc.; mas raramente nos lembramos proteger a inicialização de nosso equipamento. Se uma pessoa tiver acesso físico ao computador, ela pode reiniciá-lo e alterar os parâmetros do GRUB para obter acesso de administrador ao computador. Simplesmente adicione '1' ou 's' ao final da linha 'kernel' do GRUB para obter esse tipo de acesso.

Para evitar isso, você pode proteger o GRUB usando uma senha, de forma que se ela não for conhecida, não seja possível modificar seus parâmetros.

Se você tiver o carregador de inicialização GRUB instalado (que é mais comum se você usar as distribuições mais populares do Linux), poderá proteger cada entrada no menu GRUB com uma senha. Desta forma, sempre que você escolher um sistema operacional para inicializar, ele solicitará a senha que você especificou para inicializar o sistema. E, como bônus, se seu computador for roubado, os invasores não conseguirão acessar seus arquivos. Parece bom, certo?

GRUB2

Para cada entrada do Grub, um usuário pode ser estabelecido com privilégios para modificar os parâmetros das entradas que o GRUB aparece quando o sistema inicia, além do superusuário (aquele que tem acesso para modificar o Grub pressionando a tecla “e”). Faremos isso no arquivo /etc/grub.d/00_header. Abrimos o arquivo com nosso editor favorito:

sudo nano /etc/grub.d/00_header

No final, cole o seguinte:

gato < < EOF
definir superusuários =”usuário1″
senha usuario1 senha1
EOF

Onde user1 é o superusuário, exemplo:

gato < < EOF
definir superusuários=”superusuário”
senha de superusuário 123456
EOF

Para criar mais usuários, adicione-os abaixo:

senha de superusuário 123456

Seria mais ou menos assim:

gato < < EOF
definir superusuários = "superusuário"
senha de superusuário 123456
senha user2 7890
EOF

Depois de estabelecer os usuários que queremos, salvamos as alterações.

Proteja o Windows 

Para proteger o Windows, você deve editar o arquivo /etc/grub.d/30_os-prober.

sudo nano /etc/grub.d/30_os-prober

Procure uma linha de código que diz:

menuentry "$ {LONGNAME} (em $ {DEVICE})" {

Deve ser parecido com isto (superusuário sendo o nome do superusuário):

menuentry "$ {LONGNAME} (em $ {DEVICE})" –users superusuário {

 
Salve as alterações e execute:

sudo update-grub

Abri o arquivo /boot/grub/grub.cfg:

sudo nano /boot/grub/grub.cfg

E onde está a entrada do Windows (algo assim):

menuentry "Windows XP Professional" {

mude para este (user2 sendo o nome do usuário que tem privilégios de acesso):

menuentry "Windows XP Professional" –usuários usuário2 {

Reinicie e vá. Agora, quando você tentar entrar no Windows, ele pedirá a senha. Se você pressionar a tecla "e", também será solicitada a senha.

Proteja Linux

Para proteger as entradas do kernel do Linux, edite o arquivo /etc/grub.d/10_linux e procure a linha que diz:

menuentry "$ 1" {

Se você quiser que apenas o superusuário consiga acessá-lo, deve ser assim:

menuentry "$ 1" –users user1 {

Se você deseja que um segundo usuário possa acessar:

menuentry "$ 1" –users user2 {

Você também pode proteger a entrada da verificação de memória, editando o arquivo /etc/grub.d/20_memtest:

menuentry "Teste de memória (memtest86 +)" –users superusuário {

Proteja todas as entradas

Para proteger todas as entradas, execute:

sudo sed -i -e '/ ^ menuentry / s / {/ –users superusuário {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os-prober / etc / grub.d / 40_custom

Para desfazer esta etapa, execute:

sudo sed -i -e '/ ^ menuentry / s / –users superusuário [/ B] {/ {/' /etc/grub.d/10_linux /etc/grub.d/20_memtest86+ /etc/grub.d/30_os- prober /etc/grub.d/40_custom

GRUB

Vamos começar abrindo o ambiente GRUB. Abri um terminal e escrevi:

larva

Então, eu digitei o seguinte comando:

md5crypt

Ele solicitará a senha que deseja usar. Digite-o e clique em Enter. Você receberá uma senha criptografada, que deve ser guardada com muito cuidado. Agora, com permissões de administrador, abri o arquivo /boot/grub/menu.lst com seu editor de texto favorito:

sudo gedit /boot/grub/menu.lst

Para colocar a senha nas entradas do menu GRUB de sua preferência, você deve adicionar o seguinte a cada uma das entradas que deseja proteger:

senha --md5 my_password

Onde my_password seria a senha (criptografada) retornada por md5crypt: Antes:

título Ubuntu, kernel 2.6.8.1-2-386 (modo de recuperação)
root (hd1,2)
kernel /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro único
initrd /boot/initrd.img-2.6.8.1-2-386

Depois:

título Ubuntu, kernel 2.6.8.1-2-386 (modo de recuperação)
root (hd1,2)
kernel /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro único
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Salve o arquivo e reinicie. Assim tão fácil! Para evitar, não só que uma pessoa mal-intencionada possa alterar os parâmetros de configuração da entrada protegida, mas também que nem mesmo inicie aquele sistema, pode-se adicionar uma linha na entrada "protegida", após o parâmetro título. Seguindo nosso exemplo, seria algo assim:

título Ubuntu, kernel 2.6.8.1-2-386 (modo de recuperação)
trancar
root (hd1,2)
kernel /boot/vmlinuz-2.6.8.1-2-386 root = / dev / hdb3 ro único
initrd /boot/initrd.img-2.6.8.1-2-386
password –md5 $1$w7Epf0$vX6rxpozznLAVxZGkcFcs

Na próxima vez que alguém quiser iniciar esse sistema, terá que inserir a senha.

fonte: delanover & Fazer uso de & Fóruns Ubuntu & Desenvolvedor Elav