Tabla de Contenidos

Introducción

La siguiente práctica muestro cómo evitar que un usuario obtenga acceso no autorizado al servidor al editar el menú de grub durante el reinicio.

Requisito previo

Haber realizado la practica 01 “Instalación de Ubuntu Desktop 12.04 LTS”

Notas de la practica

En esta practica haremos lo siguiente: * aprenderemos cómo crear una contraseña generada por grub. * aprenderemos cómo proteger con contraseña el menú de grub.

Acedemos a nuestro terminal y accedemos al directorio grub

root@ubuntu:/# cd /etc/grub.d/

Escribimos

root@ubuntu:/etc/grub.d# ls -l

Observarmos los siguientes ficheros

  00_header:
      Protección de contraseña.
  05_debian_theme:
       Establecer colores de fondo y texto, temas
  10_linux:
       Localiza los kernels de Linux en función de los resultados del comando "lsb_release"
  20_memtest86+:
      Si el archivo /boot/memtest86+.bin existe, se incluye como un elemento de menú
  30_os-prober:
      Busca Linux y SO en otras particiones y los incluye en el menú.
  40_custom:
     Una plantilla para agregar entradas de menú personalizadas que se insertarán en grub.cfg al ejecutar el comando "update-grub". Este y cualquier otro archivo personalizado deben hacerse ejecutables para permitir la importación a grub.cfg.

Pra trabajar de una forma segura, hacemos una copia de seguridad de nuestro fichero 00_header

root@ubuntu:/etc/grub.d# cp 00_header 00_header.BKP

El siguiente paso seria crear la contraseña grub, la creamos por medio del comando grub-mkpasswd-pbkdf2

root@ubuntu:/etc/grub.d# grub-mkpasswd-pbkdf2
Enter passwdord:
Reenter password:
Your PBKDF2 is grub.pbkdf2.sha512.1000.8D...... 

tenemos que copiar y pegar desde grub.pbk… hasta el final de hash

el siguiente paso es pegar ese codigo en un documento abierto con el gedit,

Una vez añadido en el gedit, tenemos que ir a preferencias y en ver seleccionar la opcion “Do not split words over two lines” y veremos que el hash pasa de ocupar 1 linea a ocupar 3

El siguiente paso es editar el fichero 00_header, vamos al final del fichero y añadimos el siguiente texto

cat << EOF
set superusers="usuario"
password_pbkdf2 usuario CONTRASEÑA (AQUI COPIAMOS LA CONTRASEÑA COMO LA TENEMOS EN EL EDITOR Y LA PEGAMOS
EOF

root@ubuntu:/etc/grub.d# update-grub
root@ubuntu:/etc/grub.d# reboot

Intrucciones para la entrega del ejercicio

Hay que presentar una impresion de pantalla con los siguientes comandos

  ls -l /etc/grub.d/00_header
  grep password /etc/grub.d/00_header
  date
  echo "tu nombre"