Securizando Grub

 

Enredando con este gestor de arranque, bueno más bien leyendo la parte inferior del cargador podemos ver que tenemos la posibilidad de editarlo. Si nos fijamos veremos que podemos pulsar la letra e para entrar a la edición de grub

clip_image002

Tras pulsar la letra e, veremos la siguiente imagen

clip_image004

Vemos que tenemos diferentes opciones, podemos editar una de las líneas con la letra e, escribir comandos relacionados con grub si pulsamos la letra c o crear nuevas líneas pulsando la letra o.

Imaginemos ahora que nosotros tenemos totalmente securizado nuestro sistema operativo pero no hemos securizado grub. Si alguien tiene la posibilidad de reiniciar la maquina físicamente y llegar hasta aquí con grub podrá ver nuestros ficheros e incluso cosas peores ya que se valida como grub sin tener que introducir contraseñas.

Veámoslo, pulsaremos la letra e en la segunda opción y nos aparecerá la siguiente ventana.

clip_image006

Una vez aquí nosotros tenemos la opción de modificar la línea y establecer lo que queramos, si ponemos en esa línea rw init=/bin/bash, la guardamos y arrancamos con ella no nos hara falta meter ninguna contraseña para tener acceso de root.Comprobemoslo.

clip_image008

clip_image010

Ahora pulsaremos intro. Y veremos de nuevo la ventana anterior pero con las modificaciones que hemos realizado

clip_image012

Pulsaremos ahora la letra b para poder arrancar desde esta línea, como podemos observar en la imagen inferior el sistema esta arrancando como nosotros le hemos dicho.

clip_image014

clip_image016

Como podemos apreciar en la imagen superior somos root, y root tiene permiso para cualquier cosa. Así que estamos en peligro. Imaginemos que quiero ser root, tan solo debería de ponerme el id a 0.

Introduciremos en la Shell la siguiente orden nano /etc/passwd

clip_image018

Y ahora escribiremos una línea para el usuario malo igual que la de root y lo guardamos

clip_image020

Reiniciaremos la maquina y veremos que somos capaces de hacer.

clip_image022

Vamos a validarnos con nuestros usuario, escribo ivan como usuario e introduzco mi contraseña a continuación.

clip_image024

Como podemos observar, no podemos entrar desde aquí porque somos administrador del sistema.

Vamos a intentarlo desde un terminal, a ver qué ocurre.

clip_image026

clip_image028

Como podemos observar el sistema nos identifica como root. Imaginemos todo lo que podríamos hacer

Vemos que esto puede ser muy peligroso y para evitar esto tendremos que ponerle una contraseña a grub. Modificar esta contraseña es muy sencillo y veremos a continuación como podemos securizar esto

En una Shell, tendremos que validarnos como root, para ello escribiremos su y la contraseña

clip_image030

Ahora escribiremos grub en la Shell

clip_image032

Pulsaremos intro y veremos una pantalla como la siguiente

clip_image034

Escribiremos md5crypt, con este comando podremos encriptar la contraseña que tenemos en el grub para que sea más complicado averiguarla en caso de acceso a los ficheros de configuración.

clip_image036

Escribiremos como contraseña Pinguin0

clip_image038

Como podemos apreciar en la imagen superior nuestra contraseña encriptada son todos esas letras y números. Copiaremos todo ese churro y lo pondremos en nuestro fichero de configuración menú.lst

Escribiremos quit para salir del grub.

Ahora volveremos a editar nuestro fichero de configuración en /boot/grub/menú.lst

Nos fijaremos ahora en la opción password del fichero

clip_image040

Esta es la sección a la que nos referimos, como podemos leer tendremos que poner algo similar a password –md5 y todo el churro que nos ha aparecido antes para que nuestro grub este protegido y no se puedan colar en nuestro sistema.

clip_image042

Guardaremos el fichero de configuración y reiniciaremos la máquina para probarlo.

clip_image044

Como podemos observar en la parte inferior, ahora solo podemos elegir un sistema o bien presionar p escribir nuestra contraseña y editar la configuración como hemos hecho antes.

Pulsaremos p para ver qué ocurre.

clip_image046

Podemos ver que tenemos que introducir la contraseña, si ponemos Pinguin0 deberíamos de poder acceder a la edición de grub como antes lo hemos hecho sin contraseña.

clip_image048

clip_image050

Ahora sí que podemos editar lo que queramos pero nosotros conocemos la contraseña, cualquiera que intente entrar en esta configuración tendrá que descifrar la contraseña.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Time limit is exhausted. Please reload the CAPTCHA.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.