Ceci est une ancienne révision du document !
Page test pour mon tutoriel grub2
Sécuriser Grub2 de manière avancée
sudo cp /boot/grub/grub.cfg /boot/grub/grub.cfg.old
Munissez vous d'un support d'installation de Ubuntu (ou de toute autre distribution permettant d'avoir une session live), et vérifiez bien que vous pouvez démarrer dessus. Une fois en session live, il suffira d'exécuter
sudo mv mnt/boot/grub/grub.cfg.old mnt/boot/grub/grub.cfg
si la racine de votre système est montée sur mnt.
Pour toutes ces raisons, ce tutoriel n'est pas adapté aux débutants en ligne de commande. Il est également possible de modifier directement le grub.cfg pour pouvoir rebooter (mais il faut savoir ce qu'on fait).
Ce tutoriel explique comment sécuriser le menu Grub de manière avancée. Si protéger l'édition des entrées est déjà un point important, il ne faut pas oublier que n'importe qui peut démarrer un noyau en mode recovery, et obtenir une console root par la suite! Il serait donc avantageux de ne permettre l'accès à un noyau recovery qu'en possession du mot de passe.
Prérequis
Avoir sauvegardé les fichiers importants: /boot/grub/grub.cfg, /etc/grub.d/00_security_header, /etc/grub.d/10_linux et /etc/grub.d/30_os_prober (si vous êtes en dual boot)
Normalement à ce stade vous devriez posséder un fichier 00_security_header ressemblant à celui ci
#! /bin/sh cat <<EOF set superusers="toto" password_pbkdf2 toto grub.pbkdf2.sha512.10000.891DC34A2C0492FD76FA0E2D01B37F13FB3B3FD5A57D0838C4894D895CFAE206F9A2EA5ED3C1286AF7C44A1BBF4C9D4E2AD4AE4EBD376F4674FC8ACCEF65D92D.49656B11F58E309EC930E7B0CD76F63E67840E65E50F1F23FED0EA9D668291DFB0D10608BEEEC3C9F33AB68895C2EFDD7F7CDEE1CB58FD96CF12B9A507EACCCC set menuentry_id_option="--unrestricted \$menuentry_id_option" EOF
Le mot de passe n'est pas identique, mais c'est normal. Ce qui compte, c'est que le script fasse son travail. En particulier, que le superusers toto soit créé.