Protegiendo nuestro GRUB con contraseña

Buscando publicar algo útil o al menos medianamente útil para el Portal, recordé este artículo que publiqué hace unos meses en mi Blog personal. Se trata de una manera sencilla de aumentar la seguridad de nuestro ordenador y aunque a muchos les puede resultar algo inútil, les confieso que la inspiración a escribir el artículo original fue a raiz de las nuevas tendencias mundiales en las que cualquiera de arriba se arroja el derecho incluso de confiscarle un ordenador al de abajo por motivos tan simples que es mejor ni comentarlos acá. En fin, al grano, les dejo casi la transcripción de lo que este mismo autor publicó en otro espacio personal. Veamos como proteger nuestro Grub con contraseña de una manera muy simple.

Asegurar nuestros ordenadores es una responsabilidad de cada uno de los que de manera habitual ponemos nuestra información al alcance de un clic. En GNU/Linux , los sistemas de permisos intrínsecos son una buena manera de asegurar nuestros datos, pero incluso así, podría alguien acceder a nuestro sistema e intentar saltarse esa barrera. Evitar que alguien más pueda cargar el sistema operativo que tenemos en nuestro ordenador podría ser una buena práctica para evitar males mayores.

Grub ¿Y eso que es?

Según los que saben y a mi no me crean, el GNU GRUB (GNU GRand Unified Bootloader) es un gestor de arranque múltiple, desarrollado por el proyecto GNU que nos permite elegir qué Sistema Operativo arrancar desde una lista de sistemas instalados o físicamente disponibles para el ordenador.

Para aquellos que no están familiarizados con los conceptos de sistemas GNU/Linux y para los que recién llegan a este lado de la informática les contamos que el GRUB (GRand Unified Bootloader) es un gestor multiarranque. Procede de PUPA, el cual fue un proyecto de investigación desarrollado para reemplazar lo que hoy se conoce como GRUB Legacy. Al GRUB actual también se le conoce como GRUB 2, mientras que GRUB Legacy corresponde a las versiones 0.9x.

GRUB fue inicialmente diseñado e implementado por el programador Erich Stefan Boleyn como parte del trabajo en el arranque del sistema operativo GNU Hurd desarrollado por la Free Software Foundation. En 1999, Gordon Matzigkeit y Yoshinori Okuji convirtieron a GRUB en un paquete de software oficial del Proyecto GNU y abrieron el desarrollo del mismo al público.

Protegiendo nuestro GRUB con contraseña

Comprendiendo que el Grub es la primera barrera que encuentra quien usa nuestro ordenador, es lógico pensar en asegurarlo al máximo. Una buena manera de hacerlo es añadiendo una capa de seguridad a través de un contraseña bien robusta.

Si deseamos hacer GRUB más seguro, de modo que nadie pueda cambiar los parámetros de arranque o utilizar la línea de órdenes, podemos agregar un nombre de usuario y contraseña para los archivos de configuración de GRUB. Para lograr esto, desde nuestro sistema GNU/Linux ejecutaremos en una terminal lo siguiente:

grub-mkpasswd_pbkdf2

Es necesario introducir una contraseña y confirmarla. No está de más recordarte que trates de usar un password o contraseña robusta, aunque es importante que no la olvides. Luego de introducido y confirmado el password obtendremos algo como esto:

[...]
Your PBKDF2 is grub.pbkdf2.sha512.10000.C8ABD3E93C4DFC83138B0C7A3D719BC650E6234310DA069E6FDB0DD4156313DA3D0D9BFFC2846C21D5A2DDA515114CF6378F8A064C94198D0618E70D23717E82.509BFA8A4217EAD0B33C87432524C0B6B64B34FBAD22D3E6E6874D9B101996C5F98AB1746FE7C7199147ECF4ABD8661C222EEEDB7D14A843261FFF2C07B1269A

Ahora editaremos el archivo /etc/grub.d/40_custom:

sudo nano /etc/grub.d/40_custom

En dicho archivo añadiremos las siguientes líneas:

set superusers="nombreusuario"
password_pbkdf2 nombreusuario

Sustituye nombreusuario por algún nombre de usuario que te acomode y sustituye <contraseña> por la cadena generada por grub-mkpasswd_pbkdf2, es decir grub.pbkdf2.sha512.10000......

Luego reconstruimos el archivo de configuración del GRUB usando:

sudo grub-mkconfig -o /boot/grub/grub.cfg

La línea de órdenes y los parámetros de arranque de GRUB ahora estarán protegidos. Reinicia el ordenador y comprueba la inserción de una petición de usuario y contraseña para cualquier operación desde el GRUB incluido la selección e inicio del sistema operativo.

Recomendaciones finales

Si quieres robustecer más la seguridad de tu ordenador con GNU/Linux, al instalar el sistema operativo escoge la opción de encriptar la partición /home, así mantendrás tus datos más seguros y accesibles únicamente desde el propio sistema y tu usuario. Luego sigue este truco que te acabo de mostrar y asegura tu GRUB. Así evitarás que alguien acceda al sistema y a tus datos sin tu consentimiento. Puede haber varios motivos que pongan tu ordenador en riesgo: pérdida del ordenador o simplemente que alguien de manera arbitraria y con el poder legislativo suficiente decida confiscarte el ordenador.

¿Te resultó interesante? Compártelo ...



Maikel Llamaret Heredia

Publicado por Maikel Llamaret Heredia

https://swlx.info » Facebook » Twitter » Google+ » Linkedin » Forma parte de GUTL desde el 6 diciembre, 2011. Parte de la familia GUTL. Usuario de Tecnologías Libres desde hace varios años. Fiel a GNU/Linux y las filosofías del Software Libre y el Código Abierto. Linux User # 587451. Creador y actual mantenedor del Proyecto SWL-X. Freelancer dedicado al Desarrollo / Diseño Web y Marketing Online. Creador de Web & Media Integrated Solutions

Este artículo tiene 5 comentarios

  1. Maikel una pregunta. Si encripto el home y por alguna razon pierdo el sistema. Es posible recuperar los datos de esa particion home aunque cambie el sistema sabiendo el usuario y pass?

  2. Lo indispensable es guardar de forma segura la llave passphrase para poder utilizarla desde otro medio de instalación para destrabar el encriptado. El problema que veo a menudo en los foros es que pierden esta llave, más bien creo que queda atrapada en la carpeta cifrada.

    Por lo visto hay formas de resolver esto cuando no se tiene la key passphrase, un pequeño toque de ingeniería inversa, de esta forma se le permite al usuario ingresar -desde otro ángulo podríamos decir-. Una especie de: mount -o remount,rw / pero más rebuscado. Algunos usuarios comentan hacerlo con el: «usuario» y «contraseña» (me parece demasiado simple para destrabar un partición cifrada).

    Ahora en el caso de la contraseña para GRUB, si se olvidara ¿se resolvería reinstalando el grub? o hay que hacer magia también. Me imagino la respuesta: «Haz la prueba y así aportas por el bien de la ciencia» 😀

    Son lindos desafíos para investigar, al igual que @bosito7, haré lo propio -para ambos casos- y ver que se puede rescatar para el aprendizaje.

    Saludos.

Los comentarios están cerrados.