Cómo proteger con contraseña el cargador de arranque de Ubuntu
El cargador de arranque Grub de Ubuntu permite a cualquiera editar entradas de arranque o usar su modo de línea de comandos de manera predeterminada. Asegure Grub con una contraseña y nadie podrá editarlos, incluso puede requerir una contraseña antes de iniciar los sistemas operativos.
Las opciones de configuración de Grub 2 se dividen en varios archivos en lugar del único menú.lst que se usa en Grub 1, por lo que la configuración de una contraseña se ha vuelto más complicada. Estos pasos se aplican a Grub 1.99, utilizado en Ubuntu 11.10. El proceso puede ser diferente en futuras versiones..
Generar un hash de contraseña
Primero, arrancaremos una terminal desde el menú de aplicaciones de Ubuntu..
Ahora generaremos una contraseña confusa para los archivos de configuración de Grub. Sólo tipo grub-mkpasswd-pbkdf2 y presione Enter. Le pedirá una contraseña y le dará una cadena larga. Seleccione la cadena con el mouse, haga clic derecho y seleccione Copiar para copiarla en su portapapeles para más tarde.
Este paso es técnicamente opcional: podemos ingresar nuestra contraseña en texto sin formato en los archivos de configuración de Grub, pero este comando lo confunde y proporciona seguridad adicional.
Establecer una contraseña
Tipo sudo nano /etc/grub.d/40_custom para abrir el archivo 40_custom en el editor de texto Nano. Este es el lugar donde debes poner tus propias configuraciones personalizadas. Es posible que las versiones más recientes de Grub los sobrescriban si los agrega a otro lugar..
Desplácese hasta la parte inferior del archivo y agregue una entrada de contraseña en el siguiente formato:
establecer superusuarios = "nombre"
contraseña_pbkdf2 nombre [cadena larga desde antes]
Aquí hemos agregado un superusuario llamado "bob" con nuestra contraseña anterior. También hemos agregado un usuario llamado jim con una contraseña insegura en texto plano.
Tenga en cuenta que Bob es un superusuario mientras que Jim no lo es. ¿Cual es la diferencia? Los superusuarios pueden editar las entradas de arranque y acceder a la línea de comandos de Grub, mientras que los usuarios normales no pueden. Puede asignar entradas de arranque específicas a usuarios normales para darles acceso.
Guarde el archivo presionando Ctrl-O y Enter, luego presione Ctrl-X para salir. Sus cambios no tendrán efecto hasta que ejecute el sudo update-grub mando; Consulte la sección Activación de sus cambios para obtener más detalles..
Proteger con contraseña las entradas de arranque
Crear un superusuario nos lleva casi todo el camino. Con un superusuario configurado, Grub evita automáticamente que las personas editen las entradas de inicio o accedan a la línea de comandos de Grub sin una contraseña.
¿Desea proteger con contraseña una entrada de inicio específica para que nadie pueda iniciarla sin proporcionar una contraseña? Podemos hacer eso también, aunque es un poco más complicado en este momento..
Primero, deberemos determinar el archivo que contiene la entrada de arranque que desea modificar. Tipo sudo nano /etc/grub.d/ y presione Tab para ver una lista de los archivos disponibles.
Digamos que queremos proteger con contraseña nuestros sistemas Linux. Las entradas de arranque de Linux son generadas por el archivo 10_linux, por lo que usaremos el sudo nano /etc/grub.d/10_linux Comando para abrirlo. ¡Cuidado al editar este archivo! Si olvida su contraseña o ingresa una incorrecta, no podrá iniciar Linux a menos que arranque desde un CD en vivo y modifique primero la configuración de Grub.
Este es un archivo largo con muchas cosas en marcha, así que vamos a presionar Ctrl-W para buscar la línea que queremos. Tipo menuencia en el indicador de búsqueda y presione Entrar. Verás una línea que comienza con printf.
Solo cambia el
printf “menuentry '$ title'
bit al inicio de la línea para:
printf “menuentry -users name '$ title”
Aquí le hemos dado a Jim acceso a nuestras entradas de arranque de Linux. Bob también tiene acceso, ya que es un superusuario. Si especificáramos "bob" en lugar de "jim", Jim no tendría ningún acceso en absoluto.
Presione Ctrl-O y Enter, luego Ctrl-X para guardar y cerrar el archivo después de modificarlo.
Esto debería ser más fácil con el tiempo, ya que los desarrolladores de Grub agregan más opciones al comando grub-mkconfig.
Activando tus cambios
Sus cambios no tendrán efecto hasta que ejecute el sudo update-grub mando. Este comando genera un nuevo archivo de configuración de Grub..
Si protegió con contraseña la entrada de inicio predeterminada, verá un mensaje de inicio de sesión cuando inicie la computadora..
Si Grub está configurado para mostrar un menú de inicio, no podrá editar una entrada de inicio o usar el modo de línea de comandos sin ingresar la contraseña de un superusuario.