Product SiteDocumentation Site

4.4. Colocar una contraseña a lilo o grub

Anybody can easily get a root-shell and change your passwords by entering
<name-of-your-bootimage> init=/bin/sh
Es muy fácil entrar a una shell con el usuario root y cambiar las contraseñas simplemente tecleando "<name-of-your-bootimage> init=/bin/sh". Luego de cambiar las contraseñas y reingresar al sistema, la persona ha tiene acceso ilimitado (como root) y puede hacer cualquier cosa que el/ella quiera en el sistema. Después de este procedimiento, usted no tendrá acceso a su sistema, porque usted no conoce la contraseña de root.
Asegúrese que esto no pueda suceder, usted debería colocar una contraseña para el cargador de linux. Usted puede escoger entre una contraseña global y una contraseña para una imagen.
Para LILO usted necesita editar el archivo /etc/lilo.conf y agregar una contraseña y restringirlo como en el siguiente ejemplo:
image=/boot/2.2.14-vmlinuz
 label=Linux
 read-only
 password=hackme
 restricted
Then, make sure that the configuration file is not world readable to prevent local users from reading the password. When done, rerun lilo. Omitting the restricted line causes lilo to always prompt for a password, regardless of whether LILO was passed parameters. The default permissions for /etc/lilo.conf grant read and write permissions to root, and enable read-only access for lilo.conf's group, root.
Si usted usa GRUB en lugar de LILO, edite /boot/grub/menu.lst y agregue las siguientes dos líneas al inicio (sustituyendo, por supuesto 'hackme' con la contraseña deseada). Esto previene a los usuarios de editar los ítems de entrada. 'timeout3' especifica tres segundos antes del arranque del sistema por defecto.
timeout 3
password hackme
Para asegurar mas la integridad de la contraseña, usted podría guardarla una forma encriptada. La utilidad de grub-d5-crypt es que genera una contraseña la cual es compatible con el algorítmo (md5) de encripción de grub. Para especificar en GRUB que el formato de la contraseña md5 será usado, use la siguiente instrucción:
  timeout 3
  password --md5 $1$bw0ez$tljnxxKLfMzmnDVaQWgjP0
El parámetro --md5 fue agregado para instruir a grub a realizar el proceso de autenticación. La contraseña proporcionada es la versión encriptada en md5 de "hackme". Usar el método de encripción md5 es preferible a su contraparte en solo texto. Mas información acera de la contraseña GRUB puede ser encontrada en el paquete de grub-doc.