wiki:sicherheit:grub_schuetzen

barcode

Jeder, der ein halbwegs guter Admin ist, weiß, dass man sich root-Zugriff verschaffen kann, indem man als init nicht die initrd sonder /bin/bash bootet.

Um dies zu umgehen, kann man einfach ein Passwort setzen, dass man eingeben muss, wenn man den GRUB editieren will.

Grub 1

Um das Passwort zu erstellen, einfach folgendes eingeben:

server1:~ # grub-md5-crypt
Password:
Retype password:
$1$aTsy50$DK9KylWXNa/o3FHibO1p//

Und schon hat mein md5 verschlüsseltes Passwort

Jetzt muss man das oben erstellet Passwort nur noch in Grub integrieren. Dazu öffnet man die Datei /boot/grub/menu.lst und trägt nach „timeout“ folgendes ein

passwort --md5 $1$aTsy50$DK9KylWXNa/o3FHibO1p//

Wer aber in seinem Grub nur Klartextpasswörter mag :-), der trägt folgendes ein

passwort hanswurst

Ab sofort muss man das Passwort eingeben, wenn man im Grub editieren möchte

Grub 2

grub-mkpasswd-pbkdf2
Enter Password:
Reenter Password:

in der Datei /etc/grub.d/00_header folgendes eintragen

set superusers="John"
 
password_pbkdf2 John grub.pbkdf2.sha512.10000.FC58373BCA15A797C418C1EA7FFB007BF5A5....

Quellen

Geben Sie Ihren Kommentar ein. Wiki-Syntax ist zugelassen:
  _____   ___   _____  _____   __ 
 / ___/  / _ ) / ___/ / ___/  / / 
/ /__   / _  |/ /__  / (_ /  / /__
\___/  /____/ \___/  \___/  /____/
 
  • wiki/sicherheit/grub_schuetzen.txt
  • Zuletzt geändert: 2014/11/27 14:00
  • von wikiadmin