wiki:sicherheit:grub_schuetzen

barcode

Jeder, der ein halbwegs guter Admin ist, weiß, dass man sich root-Zugriff verschaffen kann, indem man als init nicht die initrd sonder /bin/bash bootet.

Um dies zu umgehen, kann man einfach ein Passwort setzen, dass man eingeben muss, wenn man den GRUB editieren will.

Grub 1

Um das Passwort zu erstellen, einfach folgendes eingeben:

server1:~ # grub-md5-crypt
Password:
Retype password:
$1$aTsy50$DK9KylWXNa/o3FHibO1p//

Und schon hat mein md5 verschlüsseltes Passwort

Jetzt muss man das oben erstellet Passwort nur noch in Grub integrieren. Dazu öffnet man die Datei /boot/grub/menu.lst und trägt nach „timeout“ folgendes ein

passwort --md5 $1$aTsy50$DK9KylWXNa/o3FHibO1p//

Wer aber in seinem Grub nur Klartextpasswörter mag :-), der trägt folgendes ein

passwort hanswurst

Ab sofort muss man das Passwort eingeben, wenn man im Grub editieren möchte

Grub 2

grub-mkpasswd-pbkdf2
Enter Password:
Reenter Password:

in der Datei /etc/grub.d/00_header folgendes eintragen

set superusers="John"
 
password_pbkdf2 John grub.pbkdf2.sha512.10000.FC58373BCA15A797C418C1EA7FFB007BF5A5....

Quellen

Geben Sie Ihren Kommentar ein. Wiki-Syntax ist zugelassen:
   ___    __  ______   ___    ___ 
  / _ \  / / /_  __/  / _ \  / _ )
 / ___/ / /__ / /    / ___/ / _  |
/_/    /____//_/    /_/    /____/
 
  • wiki/sicherheit/grub_schuetzen.txt
  • Zuletzt geändert: 2014/11/27 14:00
  • von wikiadmin