Recientemente publiqué , como poder acceder a una maquina como root a través del Grub , esto es útil por varias razones laborales y que no se salen del marco "ético" , sin embargo por medidas de seguridad , ya sea para evitar el acceso indeseado a nuestro sistema debemos configurar el grub para evitar que se pueda aprovechar esta "vulnerabilidad".
Lo primero es identificar el contenido de nuestro menu de carga, el bootloader tiene en ocasiones una opción de Recovery Mode que permite incluso , dependiendo de como este configurado , entrar al sistema como root y sin pedir claves!!!.
Esto lo detectamos fácilmente si al observar el menu de carga vemos la opción de Recovery Mode , entonces aquí tenemos dos opciones, dejarlo como esta y configurar una contraseña general para todo el grub, o eliminar esta opción y listo, para ello editamos el archivo del cargador de inicio en:
Lo primero es identificar el contenido de nuestro menu de carga, el bootloader tiene en ocasiones una opción de Recovery Mode que permite incluso , dependiendo de como este configurado , entrar al sistema como root y sin pedir claves!!!.
Esto lo detectamos fácilmente si al observar el menu de carga vemos la opción de Recovery Mode , entonces aquí tenemos dos opciones, dejarlo como esta y configurar una contraseña general para todo el grub, o eliminar esta opción y listo, para ello editamos el archivo del cargador de inicio en:
/boot/grub/menu.lst
Buscamos las lineas que están generalmente al final del archivo donde muestren las opciones de carga en modo de recuperación , algo así como estas:
title Ubuntu hardy , kernel 2.6.24-16-generic (recovery mode)
root (hd0,0)
kernel /vmlinuz-2.6.24-16-generic root=UUID=b69-41a0-a00-ecb ro single
initrd /initrd.img-2.6.24-16-generic
Y listo las borramos.
Ahora.... esta medida no es muy buena, porque si el día de mañana queremos entrar en modo recuperación pues ahi nos tocará ver como nos las arreglamos, es por ello que mejor es habilitarle un password al modo de modificación del grub.
Para ello lo que debemos hacer es habilitar una linea que posee el mismo archivo anterior:
Entramos a él y veremos que hay una sección que esta escrita sobre el password , ahí nos muestra dos formas , una es colocar:
Así tal cual , con el inconveniente de que cualquiera que logre acceder al archivo menu.lst sabrá cual es tu super poderoso password :s y la otra opción es colocar un password encriptado con md5.
Para ello primero , fuera del archivo menu.lst , ejecutaremos el comando (como root):
Esto pedirá que escribas dos veces un password cualquiera , y al final te lo dará encriptado en md5, ese resultado que te dé , cópielo completo , toda la linea.
De ahí nos vamos entonces , a editar el archivo menu.lst y en la sección password escribiremos :
Y listo, guardamos el archivo y reiniciamos el sistema, cuando arranque veremos solo una diferencia en el bootloader, y es que en vez de ofrecernos todas las opciones que da sobre cada linea "e" , "c" , etc , simplemente nos mostrará escoger el kernel que queremos cargar y la opción "p", si presionamos "p" nos pedirá el password sin encriptar, al colocarlo y verificarlo , el grub te mostrará todas las opciones normales de cualquier grub y ahí si podrás seguir trabajando y teniendo un sistema un poco más seguro.
Ahora.... esta medida no es muy buena, porque si el día de mañana queremos entrar en modo recuperación pues ahi nos tocará ver como nos las arreglamos, es por ello que mejor es habilitarle un password al modo de modificación del grub.
Para ello lo que debemos hacer es habilitar una linea que posee el mismo archivo anterior:
/boot/grub/menu.lst
Entramos a él y veremos que hay una sección que esta escrita sobre el password , ahí nos muestra dos formas , una es colocar:
password loqueseteocurra
Así tal cual , con el inconveniente de que cualquiera que logre acceder al archivo menu.lst sabrá cual es tu super poderoso password :s y la otra opción es colocar un password encriptado con md5.
Para ello primero , fuera del archivo menu.lst , ejecutaremos el comando (como root):
grub-md5-crypt
Esto pedirá que escribas dos veces un password cualquiera , y al final te lo dará encriptado en md5, ese resultado que te dé , cópielo completo , toda la linea.
De ahí nos vamos entonces , a editar el archivo menu.lst y en la sección password escribiremos :
password --md5 + el texto encriptado que copiamos
Y listo, guardamos el archivo y reiniciamos el sistema, cuando arranque veremos solo una diferencia en el bootloader, y es que en vez de ofrecernos todas las opciones que da sobre cada linea "e" , "c" , etc , simplemente nos mostrará escoger el kernel que queremos cargar y la opción "p", si presionamos "p" nos pedirá el password sin encriptar, al colocarlo y verificarlo , el grub te mostrará todas las opciones normales de cualquier grub y ahí si podrás seguir trabajando y teniendo un sistema un poco más seguro.
Menéame
0 comentarios:
Publicar un comentario