===== Introducción  =====

La siguiente práctica muestro cómo evitar que un usuario obtenga acceso no autorizado al servidor al editar el menú de grub durante el reinicio.


===== Requisito previo =====

Haber realizado la practica 01 “Instalación de Ubuntu Desktop 12.04 LTS”


===== Notas de la practica =====


En esta practica haremos lo siguiente:
 *  aprenderemos cómo crear una contraseña generada por grub.
 *  aprenderemos cómo proteger con contraseña el menú de grub.


Acedemos a nuestro terminal y accedemos al directorio grub

<code bash>
root@ubuntu:/# cd /etc/grub.d/
</code>

{{:sad:ubuntu:p3:index.40.jpg?600|}}

Escribimos 

<code bash>
root@ubuntu:/etc/grub.d# ls -l
</code>
Observarmos los siguientes ficheros

    00_header:
        Protección de contraseña.
    05_debian_theme:
         Establecer colores de fondo y texto, temas
    10_linux:
         Localiza los kernels de Linux en función de los resultados del comando "lsb_release"
    20_memtest86+:
        Si el archivo /boot/memtest86+.bin existe, se incluye como un elemento de menú
    30_os-prober:
        Busca Linux y SO en otras particiones y los incluye en el menú.
    40_custom:
       Una plantilla para agregar entradas de menú personalizadas que se insertarán en grub.cfg al ejecutar el comando "update-grub". Este y cualquier otro archivo personalizado deben hacerse ejecutables para permitir la importación a grub.cfg.

{{:sad:ubuntu:p3:index.41.jpg?600|}}


Pra trabajar de una forma segura, hacemos una copia de seguridad de nuestro fichero 00_header

<code bash>
root@ubuntu:/etc/grub.d# cp 00_header 00_header.BKP
</code>

El siguiente paso seria crear la contraseña grub, la creamos por medio del comando grub-mkpasswd-pbkdf2

<code bash>
root@ubuntu:/etc/grub.d# grub-mkpasswd-pbkdf2
Enter passwdord:
Reenter password:
Your PBKDF2 is grub.pbkdf2.sha512.1000.8D...... 
</code>
tenemos que copiar y pegar desde grub.pbk... hasta el final de hash

el siguiente paso es pegar ese codigo en un documento abierto con el gedit, 


{{:sad:ubuntu:p3:index.41.jpg?600|}}

Una vez añadido en el gedit, tenemos que ir a preferencias y en ver seleccionar la opcion **"Do not split words over two lines"** y veremos que el hash pasa de ocupar 1 linea a ocupar 3

El siguiente paso es editar el fichero **00_header**, vamos al final del fichero  y añadimos el siguiente texto

<code bash>
cat << EOF
set superusers="usuario"
password_pbkdf2 usuario CONTRASEÑA (AQUI COPIAMOS LA CONTRASEÑA COMO LA TENEMOS EN EL EDITOR Y LA PEGAMOS
EOF
</code>
{{:sad:ubuntu:p3:index.54.jpg?600|}}

<code bash>
root@ubuntu:/etc/grub.d# update-grub
root@ubuntu:/etc/grub.d# reboot
</code>

===== Intrucciones para la entrega del ejercicio =====

Hay que presentar una impresion de pantalla con los siguientes comandos

    ls -l /etc/grub.d/00_header
    grep password /etc/grub.d/00_header
    date
    echo "tu nombre"