Product SiteDocumentation Site

4.4. Attribuer un mot de passe à LILO ou GRUB

N'importe qui peut obtenir facilement une invite de commandes superutilisateur et changer les mots de passe en entrant à l'invite d'amorçage
<name-of-your-bootimage> init=/bin/sh
Après le changement du mot de passe et le redémarrage du système, la personne a un accès superutilisateur illimité et peut faire tout ce qu'elle veut sur le système. Après cela, vous n'aurez plus d'accès supertilisateur sur la machine, étant donné que vous ne connaîtrez pas le mot de passe.
Pour être sûr que cela ne puisse pas se produire, vous devriez attribuer un mot de passe au démarrage. Vous avez le choix entre un mot de passe global et un mot de passe par image.
Pour LILO, vous avez besoin d'éditer le fichier /etc/lilo.conf et ajouter les lignes password ainsi que restricted comme dans l'exemple suivant.
image=/boot/2.2.14-vmlinuz
     label=Linux
     read-only
     password=piratemoi
     restricted
Puis, assurez-vous que le fichier de configuration n'est pas lisible par tout le monde pour empêcher des utilisateurs locaux de lire le mot de passe. Une fois terminé, relancez lilo. Omettre la ligne restricted entraîne une attente de mot de passe, en dépit des paramètres passés à LILO. Les permissions par défaut pour le fichier /etc/lilo.conf accordent au superutilisateur les droits de lecture et d'écriture et permettent un accès en lecture seule pour le groupe de configuration de lilo.conf, à savoir root.
Si vous utilisez GRUB plutôt que LILO, éditez /boot/grub/menu.lst et ajoutez les deux lignes suivantes en début (en remplaçant, bien sûr, hackme par le mot de passe désiré). Cela empêche les utilisateurs d'éditer les options de démarrage. timeout 3 indique un délai de 3 secondes avant que grub démarre l'option par défaut.
timeout 3
  password piratemoi
Pour aller plus loin dans le durcissement de l'intégrité du mot de passe, vous pourriez entreposer le mot de passe sous une forme chiffrée. L'utilitaire grub-md5-crypt génère un hachage de mot de passe qui est compatible avec l'algorithme du mot de passe GRUB (MD5). Pour indiquer à grub qu'un mot de passe au format MD5 va être utilisé, utilisez la directive suivante:
timeout 3
  password --md5 $1$T/vfEWUQ$t8xoW.5kp3nbqc1zOwa3W1
Le paramètre --md5 a été ajouté pour informer grub d'effectuer la procédure d'authentification md5. Le mot de passe fourni est la version MD5 chiffrée de piratemoi. L'utilisation de la méthode MD5 pour le mot de passe est préférable à la méthode précédente dont le mot de passe est en clair. Plus d'informations concernant les mots de passe grub sont disponibles dans le paquet grub-doc.