martes, 8 de mayo de 2012

Añade más seguridad a Ubuntu protegiendo el GRUB

Si acabamos de instalar Ubuntu 12.04, una de las opciones que aparecen en el menú de arranque es la de poder entrar en modo recuperación, dentro de ese modo, tan solo tenemos que escoger, pasar a un interprete de ordenes como administrador, y ya tendremos acceso total, nada más, ni siquiera contraseña. Una vez seleccionada esa opción cualquier persona puede acceder a nuestra distro sin limitación alguna, con los problemas de seguridad que eso puede conllevar, máxime si el PC es compartido.
Nunca ha sido muy complicado entrar al sistema a través de GRUB y adquirir permisos de administrador, pero otra cosa es dejar la puerta abierta directamente.



Por suerte, GRUB es altamente configurable y aunque hay algunas aplicaciones que nos facilitan el trabajo de editar el menú de arranque, la mejor forma de aprender es hacerlo uno mismo. Así que vamos a darle un poco más de seguridad, añadiendo una contraseña para evitar lo mencionado anteriormente.
Empecemos, el primer paso va a ser crear una copia del archivo que vamos a modificar, por si algo no fuera bien volver a recuperarlo. Para ello abrimos nuestra terminal y tecleamos:
sudo cp /boot/grub/grub.cfg /boot/grub/copia_grub.cfg
Una vez realizada la copia, vamos a generar la contraseña que utilizaremos más adelante, así que escribimos:
sudo grub-mkpasswd-pbkdf2
Luego, nos pregunta la contraseña (puede ser cualquiera) y tendremos que confirmarla, acto seguido nos generará una nueva contraseña codificada.

Ahora que tenemos todo lo necesario, el siguiente paso es editar grub.cfg.
sudo gedit /boot/grub/grub.cfg
Al comienzo del archivo incluiremos las siguientes lineas, cambiando tu_usuario por el que corresponda y siendo grub.pbkdf2 la contraseña que hemos generado anteriormente:
set superusers="tu_usuario"
password_pbkdf2 tu_usuario grub.pbkdf2.sha512.10000.etc...

Ya tenemos parte del trabajo hecho, con esto hemos conseguido que cuando aparezca GRUB en pantalla, no sea posible editarlo sin introducir el usuario y contraseña correctos, si no todo lo que hagamos es para nada.
Una vez que ya hemos establecido los permisos, solo nos queda buscar la entrada que queremos proteger y añadirle lo siguiente:
--users tu_usuario

Una vez finalizado, guardamos el archivo y reiniciamos el sistema, si todo ha ido bien veremos que tanto al seleccionar el modo de recuperación como al intentar editarlo nos requerirá identificarnos.

No es necesario que os diga, que de la misma manera podemos proteger todas las entradas que queramos.
Espero que os sea de ayuda.

No hay comentarios:

Publicar un comentario