Zaštita GRUB-a zaporkom

Na Linux serverima, ali i korisničkim računalim s povjerljivim podacima, trebalo biboot loader Grub zaštiti zaporkom. U protivnom svatko tko ima fizički pristup računalu može napraviti reboot i ući u single user mode, pa promijeniti root password. Evo kratkih uputa kako to napraviti.

Prvi korak je kreiranje zaporke kriptirane s md5 algoritmom.

$  grub-md5-crypt
Password:
Retype Password:
&7$mnkH09@$%kCDrw/$KsiTO0l!#

Kad dva puta unesemo zaporku dobit ćemo njen kriptiran oblik, koji zatim treba ubaciti u novi redak u /boot/grub/grub.conf u ovakvom obliku:

password --md5 &7$mnkH09@$%kCDrw/$KsiTO0l!#

Sada možemo pokrenuti restart računala, pa kad se pojavi grubov ekran pritisnemo tipku ESC. Ako tipkom e pokušamo editirati nešto u postavkama, neće nam biti dopušteno. Treba najprije stisnuti p, upisati zaporku, pa se onda može mijenjati zadana boot procedura.

Neželjeni gost od sada više neće moći iskoristiti fizički pristup računalu za svoje nepodopštine, jer smo grub zaštitili lozinkom koju on ne zna.

Vijesti: 
Kuharice: 
Kategorije: 

Komentari

zar fizički pristup ne podrazumijeva da je moguće nasilno bootat stroj s nečeg drugog (npr. knoppix live cd)? u tom slučaju ovo pada u vodu kao i drugi slični pokušaji zaštite

Da, ako napadač ima fizički pristup, to je skoro pa izgubljena bitka. No bez obrzira što grub password ne rješava sve probleme, ipak otežava posao napadaču. Pomaže i micanje CD-čitača, isključivanje USB-a u BIOS-u, koji onda opet treba zaštiti zaporkom. Na kraju krajeva, napadač može, ako ima vremena i prilike, izvaditi disk i otići s podacima. :)