wiki:sicherheit:grub_schuetzen

barcode

Jeder, der ein halbwegs guter Admin ist, weiß, dass man sich root-Zugriff verschaffen kann, indem man als init nicht die initrd sonder /bin/bash bootet.

Um dies zu umgehen, kann man einfach ein Passwort setzen, dass man eingeben muss, wenn man den GRUB editieren will.

Grub 1

Um das Passwort zu erstellen, einfach folgendes eingeben:

server1:~ # grub-md5-crypt
Password:
Retype password:
$1$aTsy50$DK9KylWXNa/o3FHibO1p//

Und schon hat mein md5 verschlüsseltes Passwort

Jetzt muss man das oben erstellet Passwort nur noch in Grub integrieren. Dazu öffnet man die Datei /boot/grub/menu.lst und trägt nach „timeout“ folgendes ein

passwort --md5 $1$aTsy50$DK9KylWXNa/o3FHibO1p//

Wer aber in seinem Grub nur Klartextpasswörter mag :-), der trägt folgendes ein

passwort hanswurst

Ab sofort muss man das Passwort eingeben, wenn man im Grub editieren möchte

Grub 2

grub-mkpasswd-pbkdf2
Enter Password:
Reenter Password:

in der Datei /etc/grub.d/00_header folgendes eintragen

set superusers="John"
 
password_pbkdf2 John grub.pbkdf2.sha512.10000.FC58373BCA15A797C418C1EA7FFB007BF5A5....

Quellen

Geben Sie Ihren Kommentar ein. Wiki-Syntax ist zugelassen:
   ____  ____    ___   ____      __
  / __/ / __ \  / _ ) / __ \ __ / /
 _\ \  / /_/ / / _  |/ /_/ // // / 
/___/  \___\_\/____/ \___\_\\___/
 
  • wiki/sicherheit/grub_schuetzen.txt
  • Zuletzt geändert: 2014/11/27 14:00
  • von wikiadmin