SysADMINsLife Admin Blog | Linux Blog | Open Source Blog
Howto: Grub Bootloader unter Debian und Ubuntu mit einem Passwort absichern und so vor Angreifern schützen.
Um euer Debian und Ubuntu Linux vor Angreifern zu schützen, welche physisch auf euer System zugreifen wollen bedarf es schon mehr als einem guten root Passwort. Ich habe vor einigen Wochen die Boot CD KonBoot vorgestellt, mit welcher es mühelos möglich ist in ein System einzudringen ohne das eigentliche root Passwort zu kennen. Ein simples Passwort im Grub Bootloader unterbindet bereits dieses Tool. Ein Passwort im Grub Bootloader kann daher schon extrem zu eurer Sicherheit beitragen. Hier zeige ich in einem kurzen HowTo wie ihr ein Grub Passwort erstellen könnt.
Folgender Befehl wird zur Erstellung eines md5 Hash Passwortes verwendet:
grub-md5-crypt
Tippt nun, wie gefragt, zwei mal euer gewünschtes Passwort in die Kommandozeile und bestätigt mit „ENTER“.
Password: [Passwort eingeben]
Retype password: [Passwort wiederholen]
$1$c1xzF/$Fz0cZlf4qYXC3GgcxfpTC1
Als Ergebnis bekommt ihr den Hashwert eures Passworts, den ihr euch am Besten kopiert oder notiert.
Das eben erstellte Passwort weisen wir nun unserem Grub Loader zu. Dazu editieren wir die Datei /boot/grub/menu.lst mit dem Lieblingseditor ( Ihr müsst dafür Root Rechte besitzen, oder euch diese holen) und fügen eine neue Zeile mit folgenden Inhalt ein (verwendet dabei euren erstellten Hash-Wert):
password --md5 $1$c1xzF/$Fz0cZlf4qYXC3GgcxfpTC1
Am Ende dieser Datei findet ihr die Bootoptionen, welche ihr beim Start in eurem Grubloader auswählen könnt. Um nun eine, oder mehrere Bootoptionen davon mit dem Passwort zu schützen, müsst ihr unter dem title die Zeile lock einfügen. Siehe Screenshot:
Wenn ihr nun euer Ubuntu oder Debian ausschaltet und wieder hochfährt dann könnt ihr keines der geschützten Systeme booten, sondern erhaltet die Fehlermeldung: „Error 32: Must be authenticated
[sam id=’2′ codes=’true‘]
Wenn ihr nun die Taste „p“ drückt, dann könnt ihr das von euch ausgewählte,Passwort eingeben und euer System wie gewohnt booten.
Hmm, wenn man schon eine boot cd verwenden kann ist ein passwort für grub irrelevant – einfach mit zb sysrescuecd booten und das lokale system mounten und schon hat man alle daten – schutz bietet da eher cryptofs. ohne boot cd braucht man eh ein passwort um in ein system zu kommen. der sinn von grub passwort ist somit fraglich.
Naja ich meinte damit auch nicht, dass es ein 100%iger Schutz gegen jeden Angriff ist. Du kannst dich damit aber sehr wohl gegen die KonBoot CD schützen, welche das root Passwort direkt umgeht. Mit einer anderen CD, welche einen eigenen Bootloader installiert hat, kannst du auch weiterhin auf das System zugreifen, und den Bootloader direkt umgehen.