• Accueil
• Contact
• Contribution
• Forum

• Delphi
• PHP
• Bash
• Génie logiciel
• Linux

• Articles
• Liens
• Livres
• Faq

Sécurisation du GRUB

Il suffit lors de l'affichage du menu de sélection de GRUB de sélectionner l'entrée de la distribution Linux puis de taper “e” pour éditer cette entrée, on ajouter à la fin de la ligne débutant par kernel la commande suivante :

init=/bin/bash

Attention à bien laisser un espace entre le texte déjà présent dans la ligne et ce qu'on y ajoute. Il ne faut pas que cela soit coller ! Une fois cette modification faite, on valide en tapant sur “Entrée” puis on boot en pressant la touche “b”. Et là miracle, au bout de quelques seconde on arrive sur un shell bash tout beau sans qu'aucune identification ne soit requise. A partir de là on peut imaginer effectuer tout un tas d’action comme modifier le mot de passe d’un utilisateur à l’aide de la commande passwd. Notez d’ailleurs que cette technique est parfaitement utilisable quand vous avez oublié votre mot de passe root par exemple. Maintenant voyons comment améliorer la sécurité de notre GRUB et du PC de manière générale :

Mettre un mot de passe au BIOS pour éviter les modifications de celui-ci. Modifier les séquences de boot de façon à ce que la machine ne boot que sur le disque dur, pensez pour cela à complètement désactiver les autres périphériques de boot car se contenter de mettre le disque dur en première position dans la séquence de boot ne suffit pas, un hacker peut très bien sélectionner un autre périphérique de boot avec certains raccourcis comme F2, F10 ou F12 (tout dépend du matériel). Mettre un cadenas au chassie du PC (ou l'enfermer dans une case du bureau) pour empêcher un accès à l'intérieur de la machine. Protéger GRUB à l’aide d’un mot de passe : Pour mettre un mot de passe à grub il va tout débord falloir générer un hash md5 du mot de passe que vous désirez utiliser, pour cela il faut passer par l'utilitaire grub-md5-crypt :

[nassim@Laptop_Nassim ~]$ grub-md5-crypt
 Password:
 Retype password:
 $1$XF1ZG/$Hry.mmJjvlJ1DeH4/4EG9.

La chaîne de caractère en vert est votre mot de passe en crypté, vous devez le copier. Il ne reste plus qu'a éditer le fichier menu.lst de Grub et y insérer la ligne suivante au niveau des configurations générales (et non à la fin du fichier) :

password –md5 MotDePasseCrypté

Pour activer la protection des différentes entrées de Grub, il faut modifier chaque entrée du menu.lst en ajoutant le terme lock en dessous de leur titre, comme dans cet exemple :

# (0) Arch Linux
 title  Arch Linux
 lock
 root   (hd0,5)
 kernel /boot/vmlinuz26 root=/dev/disk/by-uuid/af698b50-2fab-4465-9e75-94de78fca8b2 ro vga=792
 initrd /boot/kernel26.img

Voilà, désormais lors du lancement de grub vous ne pourrez ni éditer ni lancer une entrée (démarrer Linux) dans avoir pressé la touche “p” puis avoir saisi votre mot de passe.

J'avoue Personnellement, je trouve que cette protection n'est pas très pratique, cela devient vite fatiguant de devoir saisir son mot de passe à chaque démarrage, je recommande donc cette manipulation uniquement pour les machines qui nécessites réellement un soin très particulier en terme de sécurisation (serveur, ordinateur ayant des données sensibles…etc).

Article écrit par: PATRICK LABARRE

Page valide XHTML 1 Strict