barcode

Jeder, der ein halbwegs guter Admin ist, weiß, dass man sich root-Zugriff verschaffen kann, indem man als init nicht die initrd sonder /bin/bash bootet.

Um dies zu umgehen, kann man einfach ein Passwort setzen, dass man eingeben muss, wenn man den GRUB editieren will.

Grub 1

Passwort erstellen

Um das Passwort zu erstellen, einfach folgendes eingeben:

server1:~ # grub-md5-crypt
Password:
Retype password:
$1$aTsy50$DK9KylWXNa/o3FHibO1p//

Und schon hat mein md5 verschlüsseltes Passwort

Grub absichern

Jetzt muss man das oben erstellet Passwort nur noch in Grub integrieren. Dazu öffnet man die Datei /boot/grub/menu.lst und trägt nach „timeout“ folgendes ein

passwort --md5 $1$aTsy50$DK9KylWXNa/o3FHibO1p//

Wer aber in seinem Grub nur Klartextpasswörter mag :-), der trägt folgendes ein

passwort hanswurst

Ab sofort muss man das Passwort eingeben, wenn man im Grub editieren möchte

Grub 2

Passwort erstellen

grub-mkpasswd-pbkdf2
Enter Password:
Reenter Password:

Grub absichern

in der Datei /etc/grub.d/00_header folgendes eintragen

set superusers="John"
 
password_pbkdf2 John grub.pbkdf2.sha512.10000.FC58373BCA15A797C418C1EA7FFB007BF5A5....

Quellen