jueves, 24 de noviembre de 2011

Grub2 con contraseña


Para evitar la edición de las entradas de grub durante el arranque del sistema podemos protegerlo con usuario y contraseña. También podemos limitar el acceso a alguna de las entradas del menú de arranque del grub.

Vamos a ver como:

Ejecutamos el comando:

# grub-mkpasswd-pbkdf2

Ponemos que contraseña queremos utilizar y nos proporciona una contraseña encriptada.
Utilizamos el resultado del comando para editar el siguiente fichero.

Editamos /etc/grub.d/40_custom y añadimos:

         set superusers="root"

         password_pbkdf2 root CONTRASEÑA_ENCRIPTADA

De este modo protegemos la edición de las entradas durante el arranque.

Vamos a ver como proteger las entrada del menú con la opción "recovery":

Editamos /etc/grub.d/10_custom

Buscamos if ${recovery}
Justo debajo tenemos una entrada title, después de title añadimos:

         contrasenya="--users root"


Al finalizar el if encontramos:

         printf "menuentry '${title}' ${CLASS} {\n" "${os}" "${version}"

Y la reemplazamos por:

         printf "menuentry '${title}' ${CLASS} ${contrasenya} {\n" "${os}" "${version}"


Tras esto solo falta actualizar el grub:

# update-grub

Desde le menú del grub si accedemos a la edición o intentamos arrancar una entrada con contraseña veremos:



He utilizado el usuario root pero puedes crear cualquier usuario o usuarios.

;-)