[TUTO] Protéger avec un mot de passe l’accès au GRUB

Hello tout le monde,

Dans ce billet, on va voir comment mettre un mot de passe pour accéder au grub de notre machine.
Ce billet n’a pas vocation à expliquer le fonctionnement de GRUB, ni tout ce qui est secteur d’amorçage.

Grosso modo, GRUB, est un utilitaire vous permettant de booter sur votre système d’exploitation, alias un bootloader.
S’il permet de booter, il permet bien d’autres choses, notamment ouvrir un shell bash en root sans avoir besoin de connaitre le moindre mot de passe.

Pour se protéger de cela, on chiffre déjà son disque dur, et on met aussi un mot de passe sur son Grub.

Attention, cette manipulation si elle est mal faite, peut endommager votre grub et vous empêcher de redémarrer correctement.
Pour cela assurez vous d’avoir un live-cd, afin de pouvoir faire les opérations mais dans le sens inverse.
Ce tuto est valable pour grub2.

GRUB 2.04

Pour protéger l’accès de grub avec un mot de passe, il faut un utilisateur auquel associer ce mot de passe. Dans le tuto ce sera donc « hedi« .
Cet utilisateur est complétement indépendant des utilisateurs crées sur votre système d’exploitation. Il ne sera associé qu’à GRUB.

On veut du robuste !

Création du mot de passe

En premier lieux, il faut être root, ou utiliser sudo si vous l’avez.

Pour créer un mot de passe hashé, on utilise la commande suivante,
grub-mkpasswd-pbkdf2

Une fois le mot de passe crée, on édite le fichier /etc/grub.d/00_header, afin de lui ajouter ceci en toute fin de fichier :

cat << EOF
set superusers="hedi"
password_pbkdf2 hedi "Le mot de passe hashé obtenu précédemment, SANS LES GUILLEMETS"
EOF

Et enfin, pour prendre en compte le changement,
update-grub

Voilà, vous n’avez plus qu’à redémarrer.

@++ et n’hésitez pas à réagir.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

dix-neuf − six =