Sécurité

GRUB 2 : Protéger les entrées avec un mot de passe

Cet article a été mis à jour, vous consultez ici une archive de cet article!
Table des matières

grub2



Introduction



Dans cet article, nous allons voir comment protéger par mot de passe l'édition des entrées du chargeur d'amorçage.

Cela peut être utile si vous souhaitez éviter qu'un tiers ayant accès à la machine concernée puisse éditer les paramètres du noyau.

Création du mot de passe chiffré



GRUB 2 utilise son propre algorithme pour chiffrer le mot de passe (oui, il n'est pas stocké en clair évidemment !)

Pour cela, exécutez la commande suivante :

Code BASH :
grub-mkpasswd-pbkdf2


Sur certaines distributions, il s'agit de :

Code BASH :
grub2-mkpasswd-pbkdf2


Vous êtes invités à saisir 2 fois le mot de passe souhaité.

Lorsque vous serez sur l'écran du GRUB au boot, il est possible que vous soyez en disposition de clavier anglais qwerty. Faites donc attention avec les caractères spéciaux !

Code TEXT :
Entrez le mot de passe : 
Entrez de nouveau le mot de passe : 


Une fois validé, le terminal vous indique le mot de passe chiffré via une ligne de ce style :

Code TEXT :
Le hachage PBKDF2 du mot de passe est grub.pbkdf2.sha512.10000.76312C338DE71002704A789A6CEA186FD660C424CDE28878A82C04ED54399CEA46DBE353DB2F84F01105EB329D6FB8EEB1466660167A872C6FDB5B619672012D.1F1CC4905DA78E6643FDC760151034042433C6BA49ECA9C48CAF23B45E78380EABC5F30F8058780D99D1812D452E506FB829DFB8FAA56BF14EE83E8F2659AE67


Notez cela dans un coin.

Paramétrage de GRUB 2



Pour prendre en compte ce mot de passe, nous allons éditer la configuration de GRUB 2.
Nous allons modifier le fichier spécifiquement créé pour cela :

Code BASH :
vi /etc/grub.d/40_custom 


A la fin du fichier, indiquez le nom d'utilisateur souhaité, ainsi que le mot de passe chiffré comme dans cet exemple que je vous propose :

Code TEXT :
set superusers="root"
password_pbkdf2 root  grub.pbkdf2.sha512.10000.76312C338DE71002704A789A6CEA186FD660C424CDE28878A82C04ED54399CEA46DBE353DB2F84F01105EB329D6FB8EEB1466660167A872C6FDB5B619672012D.1F1CC4905DA78E6643FDC760151034042433C6BA49ECA9C48CAF23B45E78380EABC5F30F8058780D99D1812D452E506FB829DFB8FAA56BF14EE83E8F2659AE67


Enregistrez le fichier.

Pour prendre en compte le paramétrage, vous devez regénérer le fichier de configuration de GRUB 2 via la commande :

Code BASH :
grub-mkconfig -o /boot/grub2/grub.cfg


Sur certaines distributions, il s'agit de :

Code BASH :
grub2-mkconfig -o /boot/grub2/grub.cfg


La configuration se regénère :

Code TEXT :
Generating grub configuration file ...
Adding boot menu entry for UEFI Firmware Settings ...
done


Constat



Lorsque vous redémarrez le système, si vous souhaitez éditer une entrée avec "e", le nom d'utilisateur précédemment défini ainsi que le mot de passe vous sont demandés :

grub_password