La configuración por defecto de GRUB permite que cualquier persona con acceso físico a la máquina, pueda acceder a él y editarlo, pudiendo así obtener una GRUB shell. El problema aparece cuando esa persona tiene ciertos conocimientos y se hace con una root shell, como explican en flu-project en el artículo "El Sticky Keys (sethc.exe) de GNU/Linux".
No es un fallo de seguridad, como bien aclaran en flu-project y el proyecto GNU. Se deja así para facilitar la recuperación de sistemas estropeados, lo cual se consiera la opción más razonable para la mayoría de sistemas. Ya que una persona con acceso físico a la máquina podría utilizar distintas técnicas para comprometerla. De todas formas, en GNU, reconocen y advierten de que en ciertos entornos es conveniente bloquear el cargador de arranque. Así que, si no os fiais del entorno en el que puede acabar vuestro ordenador, bloqueadlo ;)
Cómo podemos bloquear el GRUB?
En dos sencillos pasos:
1. Generar una contraseña de forma segura:
2. Editar el fichero /etc/grub.d/40_custom y añadir dos líneas:
password_pbkdf2 nombreUsuario grub.pbkdf2.sha512.password.increiblmente.larga.que.generamos.antes
Si la opción --unrestricted no es usada en las entradas de grub (y no es añadida por defecto), sólo los usuarios especificados en la lista de superusers podrán editarlo.
Fuentes:
No hay comentarios:
Publicar un comentario