Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Grub2 / grub-pc : comment sécuriser grub par mot de passe ?

aurelien88

Bonjour à tous,

j'ai récemment pris conscience de la faille de sécurité que représente le mode recovery de grub qui, sans entrer un seul mot de passe, permet l'accès à une console root.

Je souhaite donc protèger cet accès par un mot de passe, sans couper l'accès au mode recovery, qui est bien pratique en cas de plantage.

Cependant, toute la documentation que j'ai pu trouver sur grub et cette manip concerne la version 0.97 Legacy, et les commandes ne fonctionnent plus avec grub2 (en pariculier la commande lock, qui n'existe plus).

Quelqu'un a une idée, ou au moins une piste ? Merci d'avance !

\\Ouranos//

http://grub.enbug.org/ListeDesCommandes

Ça a l'air mal barré.

[supprimé]

Salut

Il suffit d'affecter un mot de passe au compte root et en mode recovery ce mot de passe sera demander :
sudo passwd root et on entre 2 fois le nouveau mot de passe (après avoir entré celui de l'utilisateur .... sudo oblige)

Il faut quand même savoir que cela n'empêchera pas de démarrer en LiveCD et de "bidouiller" le système :/.

@+

aurelien88

Merci.

Pour le liveCD, avec un mot de passe sur le bios et un /home crypté, ça devient un peu plus compliqué 😛 ...

Je laisse le post en non résolu tant que je n'aurai pas trouvé les commandes de grub-pc.

scholi

#aurelien: Non, pas du tout, le bios crypté n'apporte rien vu que dans le grub2 tu tappes "c" et du coup tu a une console pour booter sur un livecd et depuis le livecd tu récupère le mot de passe des utilisateur qui se strouvent dans /etc, donc non crypté...

[supprimé]

scholi a écrit#aurelien: Non, pas du tout, le bios crypté n'apporte rien vu que dans le grub2 tu tappes "c" et du coup tu a une console pour booter sur un livecd et depuis le livecd tu récupère le mot de passe des utilisateur qui se strouvent dans /etc, donc non crypté...

Ho ho c'est nouveau ça :lol:

Les mots de passe en unix sont toujours cryptés à ma connaissance.

AlexandreP

Il existe une gestion basique (comprendre : du bidouillage) de la protection par mot de passe : Authentication (en anglais)

ReaZy

AlexandreP a écritIl existe une gestion basique (comprendre : du bidouillage) de la protection par mot de passe : Authentication (en anglais)

Marche nickel seulement clavier en qwerty.

Pour clavier azerty ==> Ici

survietamine

salut, je voulais savoir si la situation a évolué.
C'est pour un déploiement en entreprise en remplacement de vieilles Debian.
On aimerait éviter que les utilisateurs du parc puisse éditer les entrées de Grub sans renseigner de mot de passe.
S'il n'y a pas de nouvelle façon de faire, je vais m'en remettre à la "bidouille" citée plus haut :\

aurelien88

Rien de neuf à ma connaissance. C'est assez curieux d'ailleurs, parce c'est vraiment une sacrée faille.

En revanche, jeanjd63, les mots de passe sont cyptés en md5, autant dire qu'ils sont en clair :lol:

survietamine

aurelien88 a écrit En revanche, jeanjd63, les mots de passe sont cyptés en md5, autant dire qu'ils sont en clair :lol:

Si j'ai compris, par défaut, c'est MD5 qui est utilisé par crypt() lequel est appelé par la commande `passwd`.
Et si je ne me trompe pas :
- MD5 est vulnérable : parce qu'il y a eu des cas de collisions (2 phrases sources ont produit le même hachage).
- MD5 n'est cependant pas si "dangereux" que ça il n'est pas réversible.
par brute-force on pourrait trouver le hash des mots de passe les plus courants.
Mais si c'est un mot de passe avec un niveau de sécurité assez élevé, je ne pense pas que ce soit facile de le retrouver.
- apparemment, on peut modifier le comportement par défaut et choisir blowfish, sha-256 ou sha-512 (je n'ai jamais testé).

Mais si ma compréhension du mécanisme est erronée, si tu as plus d'infos, merci de corriger 🙂

aurelien88

Le MD5 est vulnérable car très sensible à des attaques par bruteforce.

Teste la solidité de ton mot de passe hashé ici : md5.rednoize.com. Tu vas flipper !

Après, changer le comportement... jamais entendu parlé.