#1 Le 09/01/2010, à 20:32
- aurelien88
Grub2 / grub-pc : comment sécuriser grub par mot de passe ?
Bonjour à tous,
j'ai récemment pris conscience de la faille de sécurité que représente le mode recovery de grub qui, sans entrer un seul mot de passe, permet l'accès à une console root.
Je souhaite donc protèger cet accès par un mot de passe, sans couper l'accès au mode recovery, qui est bien pratique en cas de plantage.
Cependant, toute la documentation que j'ai pu trouver sur grub et cette manip concerne la version 0.97 Legacy, et les commandes ne fonctionnent plus avec grub2 (en pariculier la commande lock, qui n'existe plus).
Quelqu'un a une idée, ou au moins une piste ? Merci d'avance !
Hors ligne
#2 Le 09/01/2010, à 23:35
- \\Ouranos//
Re : Grub2 / grub-pc : comment sécuriser grub par mot de passe ?
http://grub.enbug.org/ListeDesCommandes
Ça a l'air mal barré.
Ubuntu facile, c'est :
- Dire "Bonjour"
- Lire la doc et les règles du forum avant de poster. Savoir poser une question intelligemment.
- Mettre des balises url autour des liens et un tiret à su.
Hors ligne
#3 Le 09/01/2010, à 23:43
- Compte anonymisé
Re : Grub2 / grub-pc : comment sécuriser grub par mot de passe ?
Salut
Il suffit d'affecter un mot de passe au compte root et en mode recovery ce mot de passe sera demander :
sudo passwd root et on entre 2 fois le nouveau mot de passe (après avoir entré celui de l'utilisateur .... sudo oblige)
Il faut quand même savoir que cela n'empêchera pas de démarrer en LiveCD et de "bidouiller" le système 
.
@+
Dernière modification par Compte anonymisé (Le 09/01/2010, à 23:46)
#4 Le 10/01/2010, à 00:08
- aurelien88
Re : Grub2 / grub-pc : comment sécuriser grub par mot de passe ?
Merci.
Pour le liveCD, avec un mot de passe sur le bios et un /home crypté, ça devient un peu plus compliqué 
...
Je laisse le post en non résolu tant que je n'aurai pas trouvé les commandes de grub-pc.
Hors ligne
#5 Le 26/01/2010, à 11:47
- scholi
Re : Grub2 / grub-pc : comment sécuriser grub par mot de passe ?
#aurelien: Non, pas du tout, le bios crypté n'apporte rien vu que dans le grub2 tu tappes "c" et du coup tu a une console pour booter sur un livecd et depuis le livecd tu récupère le mot de passe des utilisateur qui se strouvent dans /etc, donc non crypté...
S'il n'y a pas de solution, c'est qu'il n'y a pas de problème.
Hors ligne
#6 Le 26/01/2010, à 11:51
- Compte anonymisé
Re : Grub2 / grub-pc : comment sécuriser grub par mot de passe ?
#aurelien: Non, pas du tout, le bios crypté n'apporte rien vu que dans le grub2 tu tappes "c" et du coup tu a une console pour booter sur un livecd et depuis le livecd tu récupère le mot de passe des utilisateur qui se strouvent dans /etc, donc non crypté...
Ho ho c'est nouveau ça 
Les mots de passe en unix sont toujours cryptés à ma connaissance.
#7 Le 27/01/2010, à 06:21
- AlexandreP
Re : Grub2 / grub-pc : comment sécuriser grub par mot de passe ?
Il existe une gestion basique (comprendre : du bidouillage) de la protection par mot de passe : Authentication (en anglais)
«La capacité d'apprendre est un don; La faculté d'apprendre est un talent; La volonté d'apprendre est un choix.» -Frank Herbert
93,8% des gens sont capables d'inventer des statistiques sans fournir d'études à l'appui.
Hors ligne
#8 Le 18/03/2011, à 17:00
- ReaZy
Re : Grub2 / grub-pc : comment sécuriser grub par mot de passe ?
Il existe une gestion basique (comprendre : du bidouillage) de la protection par mot de passe : Authentication (en anglais)
Marche nickel seulement clavier en qwerty.
Pour clavier azerty ==> Ici
Dernière modification par ReaZy (Le 18/03/2011, à 17:22)
Hors ligne
#9 Le 08/07/2011, à 15:44
- survietamine
Re : Grub2 / grub-pc : comment sécuriser grub par mot de passe ?
salut, je voulais savoir si la situation a évolué.
C'est pour un déploiement en entreprise en remplacement de vieilles Debian.
On aimerait éviter que les utilisateurs du parc puisse éditer les entrées de Grub sans renseigner de mot de passe.
S'il n'y a pas de nouvelle façon de faire, je vais m'en remettre à la "bidouille" citée plus haut :\
Ðɸ Ƴơц ℕεєđ Şø₥€ √іêŤąɱίɳƸʂ ?
Hors ligne
#10 Le 08/07/2011, à 23:09
- aurelien88
Re : Grub2 / grub-pc : comment sécuriser grub par mot de passe ?
Rien de neuf à ma connaissance. C'est assez curieux d'ailleurs, parce c'est vraiment une sacrée faille.
En revanche, jeanjd63, les mots de passe sont cyptés en md5, autant dire qu'ils sont en clair
Hors ligne
#11 Le 11/07/2011, à 10:12
- survietamine
Re : Grub2 / grub-pc : comment sécuriser grub par mot de passe ?
En revanche, jeanjd63, les mots de passe sont cyptés en md5, autant dire qu'ils sont en clair
Si j'ai compris, par défaut, c'est MD5 qui est utilisé par crypt() lequel est appelé par la commande `passwd`.
Et si je ne me trompe pas :
- MD5 est vulnérable : parce qu'il y a eu des cas de collisions (2 phrases sources ont produit le même hachage).
- MD5 n'est cependant pas si "dangereux" que ça il n'est pas réversible.
par brute-force on pourrait trouver le hash des mots de passe les plus courants.
Mais si c'est un mot de passe avec un niveau de sécurité assez élevé, je ne pense pas que ce soit facile de le retrouver.
- apparemment, on peut modifier le comportement par défaut et choisir blowfish, sha-256 ou sha-512 (je n'ai jamais testé).
Mais si ma compréhension du mécanisme est erronée, si tu as plus d'infos, merci de corriger 
Ðɸ Ƴơц ℕεєđ Şø₥€ √іêŤąɱίɳƸʂ ?
Hors ligne
#12 Le 25/07/2011, à 12:46
- aurelien88
Re : Grub2 / grub-pc : comment sécuriser grub par mot de passe ?
Le MD5 est vulnérable car très sensible à des attaques par bruteforce.
Teste la solidité de ton mot de passe hashé ici : md5.rednoize.com. Tu vas flipper !
Après, changer le comportement... jamais entendu parlé.
Dernière modification par aurelien88 (Le 25/07/2011, à 12:47)
Hors ligne