GRUB 2 : Protéger les entrées avec un mot de passe
Table des matières
Dans cet article, nous allons voir comment protéger par mot de passe l'édition des entrées du chargeur d'amorçage.
Cela peut être utile si vous souhaitez éviter qu'un tiers ayant accès à la machine concernée puisse éditer les paramètres du noyau.
GRUB 2 utilise son propre algorithme pour chiffrer le mot de passe (oui, il n'est pas stocké en clair évidemment !)
Pour cela, exécutez la commande suivante :
Sur certaines distributions, il s'agit de :
Vous êtes invités à saisir 2 fois le mot de passe souhaité.
Une fois validé, le terminal vous indique le mot de passe chiffré via une ligne de ce style :
Notez cela dans un coin.
Pour prendre en compte ce mot de passe, nous allons éditer la configuration de GRUB 2.
Nous allons modifier le fichier spécifiquement créé pour cela :
A la fin du fichier, indiquez le nom d'utilisateur souhaité, ainsi que le mot de passe chiffré comme dans cet exemple que je vous propose (j'ai tronqué la ligne du mot de passe pour plus de lisibilité) :
Enregistrez le fichier.
Pour prendre en compte le paramétrage, vous devez regénérer le fichier de configuration de GRUB 2 via la commande :
Sur certaines distributions, il s'agit de :
La configuration se regénère :
Lorsque vous redémarrez le système, si vous souhaitez éditer une entrée avec "e", le nom d'utilisateur précédemment défini ainsi que le mot de passe vous sont demandés :
Introduction
Dans cet article, nous allons voir comment protéger par mot de passe l'édition des entrées du chargeur d'amorçage.
Cela peut être utile si vous souhaitez éviter qu'un tiers ayant accès à la machine concernée puisse éditer les paramètres du noyau.
Création du mot de passe chiffré
GRUB 2 utilise son propre algorithme pour chiffrer le mot de passe (oui, il n'est pas stocké en clair évidemment !)
Pour cela, exécutez la commande suivante :
Code BASH :
grub-mkpasswd-pbkdf2
Sur certaines distributions, il s'agit de :
Code BASH :
grub2-mkpasswd-pbkdf2
Vous êtes invités à saisir 2 fois le mot de passe souhaité.
Code TEXT :
Entrez le mot de passe : Entrez de nouveau le mot de passe :
Une fois validé, le terminal vous indique le mot de passe chiffré via une ligne de ce style :
Code TEXT :
Le hachage PBKDF2 du mot de passe est grub.pbkdf2.sha512.10000.76312C338DE71002704A789A6CEA186FD660C424CDE28878A82C04ED54399CEA46DBE353DB2F84F01105EB329D6FB8EEB1466660167A872C6FDB5B619672012D.1F1CC4905DA78E6643FDC760151034042433C6BA49ECA9C48CAF23B45E78380EABC5F30F8058780D99D1812D452E506FB829DFB8FAA56BF14EE83E8F2659AE67
Notez cela dans un coin.
Paramétrage de GRUB 2
Pour prendre en compte ce mot de passe, nous allons éditer la configuration de GRUB 2.
Nous allons modifier le fichier spécifiquement créé pour cela :
Code BASH :
vi /etc/grub.d/40_custom
A la fin du fichier, indiquez le nom d'utilisateur souhaité, ainsi que le mot de passe chiffré comme dans cet exemple que je vous propose (j'ai tronqué la ligne du mot de passe pour plus de lisibilité) :
Code TEXT :
set superusers="root" password_pbkdf2 root grub.pbkdf2.sha512.10000.76312....AE67
Enregistrez le fichier.
Pour prendre en compte le paramétrage, vous devez regénérer le fichier de configuration de GRUB 2 via la commande :
Code BASH :
grub-mkconfig -o /boot/grub2/grub.cfg
Sur certaines distributions, il s'agit de :
Code BASH :
grub2-mkconfig -o /boot/grub2/grub.cfg
La configuration se regénère :
Code TEXT :
Generating grub configuration file ... Adding boot menu entry for UEFI Firmware Settings ... done
Constat
Lorsque vous redémarrez le système, si vous souhaitez éditer une entrée avec "e", le nom d'utilisateur précédemment défini ainsi que le mot de passe vous sont demandés :
