El cargador de arranque Grub de Ubuntu permite a cualquiera editar las entradas de arranque o usar su modo de línea de comandos de forma predeterminada. Proteja Grub con una contraseña y nadie puede editarlos; incluso puede solicitar una contraseña antes de iniciar los sistemas operativos.
Las opciones de configuración de Grub 2 se dividen en varios archivos en lugar del único archivo menu.lst que usa Grub 1, por lo que establecer una contraseña se ha vuelto más complicado. Estos pasos se aplican a Grub 1.99, utilizado en Ubuntu 11.10. El proceso puede ser diferente en versiones futuras.
Generando un hash de contraseña
Primero, iniciaremos una terminal desde el menú de aplicaciones de Ubuntu.
Ahora generaremos una contraseña ofuscada para los archivos de configuración de Grub. Sólo tipo grub-mkpasswd-pbkdf2 y presione Entrar. Le pedirá una contraseña y le dará una cadena larga. Seleccione la cadena con su mouse, haga clic con el botón derecho y seleccione Copiar para copiarla en su portapapeles para más tarde.
Este paso es técnicamente opcional: podemos ingresar nuestra contraseña en texto plano en los archivos de configuración de Grub, pero este comando la oculta y brinda seguridad adicional.
Establecer una contraseña
Tipo sudo nano /etc/grub.d/40_custom para abrir el archivo 40_custom en el editor de texto Nano. Este es el lugar donde debe poner su propia configuración personalizada. Es posible que se sobrescriban con versiones más recientes de Grub si las agrega en otro lugar.
Desplácese hacia abajo hasta el final del archivo y agregue una entrada de contraseña en el siguiente formato:
establecer superusuarios = "nombre"
contraseña_pbkdf2 nombre [long string from earlier]
Aquí hemos agregado un superusuario llamado "bob" con nuestra contraseña anterior. También agregamos un usuario llamado jim con una contraseña insegura en texto sin formato.
Tenga en cuenta que Bob es un superusuario, mientras que Jim no lo es. ¿Cual es la diferencia? Los superusuarios pueden editar las entradas de arranque y acceder a la línea de comandos de Grub, mientras que los usuarios normales no pueden. Puede asignar entradas de arranque específicas a usuarios normales para darles acceso.
Guarde el archivo presionando Ctrl-O y Enter, luego presione Ctrl-X para salir. Sus cambios no entrarán en vigor hasta que ejecute el sudo update-grub mando; consulte la sección Activación de sus cambios para obtener más detalles.
Proteger con contraseña las entradas de arranque
Crear un superusuario nos lleva a la mayor parte del camino. Con un superusuario configurado, Grub evita automáticamente que las personas editen las entradas de arranque o accedan a la línea de comandos de Grub sin una contraseña.
¿Quiere proteger con contraseña una entrada de inicio específica para que nadie pueda iniciarla sin proporcionar una contraseña? Nosotros también podemos hacer eso, aunque es un poco más complicado en este momento.
Primero, tendremos que determinar el archivo que contiene la entrada de inicio que desea modificar. Tipo sudo nano /etc/grub.d/ y presione Tab para ver una lista de los archivos disponibles.
Digamos que queremos proteger con contraseña nuestros sistemas Linux. Las entradas de arranque de Linux son generadas por el archivo 10_linux, así que usaremos el sudo nano /etc/grub.d/10_linux comando para abrirlo. ¡Tenga cuidado al editar este archivo! Si olvida su contraseña o ingresa una incorrecta, no podrá iniciar en Linux a menos que inicie desde un CD en vivo y modifique su configuración de Grub primero.
Este es un archivo largo con muchas cosas en curso, por lo que presionaremos Ctrl-W para buscar la línea que queremos. Tipo menuentry en el mensaje de búsqueda y presione Entrar. Verá una línea que comienza con printf.
Solo cambia el
printf "menuentry" $ {title} "
bit al principio de la línea para:
printf "menuentry - nombre del usuario" $ {title} "
Aquí le hemos dado a Jim acceso a nuestras entradas de arranque de Linux. Bob también tiene acceso, ya que es un superusuario. Si especificamos "bob" en lugar de "jim", Jim no tendría ningún acceso.
Presione Ctrl-O y Enter, luego Ctrl-X para guardar y cerrar el archivo después de modificarlo.
Esto debería ser más fácil con el tiempo a medida que los desarrolladores de Grub agreguen más opciones al comando grub-mkconfig.
Activando sus cambios
Sus cambios no entrarán en vigor hasta que ejecute el sudo update-grub mando. Este comando genera un nuevo archivo de configuración de Grub.
Si protegió con contraseña la entrada de inicio predeterminada, verá un mensaje de inicio de sesión cuando inicie su computadora.
Si Grub está configurado para mostrar un menú de inicio, no podrá editar una entrada de inicio o usar el modo de línea de comandos sin ingresar la contraseña de un superusuario.
