Comment verrouiller les éditions des menus GNU GRUB ?

ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 19:39

Comment verrouiller les éditions des menus GNU GRUB ?

Message par ѠOOT » 09 avr. 2014 01:03

Comme brièvement abordé dans l'article précédent, en cas d'accès physique, il est possible de lancer un shell en super-utilisateur ( root ) simplement en éditant une ligne de GNU GRUB. Rassurez-vous, ce n'est pas une faille, c'est connu et très bien documenté et des contremesures sont suggérées. Comme à chaque fois, je vous encourage à d'abord tester en VM, vous pourrez ainsi vous faire la main et ça vous évitera de plomber votre système.

PBKDF2 : Password-Based Key Derivation Function v2.0

Les commandes devront être exécutées en super-utilisateur ( root )
Sous Ubuntu, ajoutez simplement sudo devant ces commandes.

Je commence par créer l'empreinte du mot de passe ( hash )
commande : grub-mkpasswd-pbkdf2

J'indique un mot de passe, que j'évite d'oublier la minute d'après..
Enter password:
Reenter password:
Your PBKDF2 is grub.pbkdf2.sha512....


Fainéant, je copie un fichier existant, ça m'évitera de changer les droits.
commande : cp /etc/grub.d/40_custom /etc/grub.d/01_friends

J'édite le fichier avec nano ( optez pour l'éditeur que vous aimez )
commande : nano /etc/grub.d/01_friends

Je vais écrire toutes les lignes qui figurent ci-dessous,
Image
→ Remplacez toto par le nom de l'utilisateur que vous souhaitez utiliser.
Ici, on indique que toto est notre copain : il sera autorisé à éditer le menu.
→ Oserai-je vous rappeler de remplacer le hash grub.pbkdf2.sha512.... par le vôtre ;) ?

Relisez deux fois. Pour écrire le fichier appuyez sur CTRL+O puis touche Entrée.
Et enfin si tout vous semble bon appuyez sur CTRL+X pour quitter nano.

Une petite update ( nb: n'éditez pas grub.cfg vous même )
commande : update-grub

Et on redémarre...
commande : reboot

J'appuie sur la touche "e" pour éditer
Image

Cette fois, vous devrez saisir vos identifiants.
Je lui dit "Bonjour, je suis toto tu me reconnais ?"
Image
Validez, patientez ( assez long ) ... et hop,
l'édition du menu devient alors possible.

D'autres paramétrages sont envisageables, vous pouvez établir vos propres menus, personnaliser l'image, les couleurs, etc... et bien sûr définir les utilisateurs autorisés - cette partie est documenté dans Security du manuel de GNU GRUB. Une bonne chose de faites, cependant... nous verrons prochainement pourquoi ce n'est pas suffisant :þ


‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ


Répondre

Revenir vers « Tech, Tips & Tricks »