Protection du grub : amélioration de l’interface de Mandriva

Protéger grub, pourquoi ?

Il est possible de protéger grub de l’édition en ajoutant un mot de passe. L’objectif est d’améliorer la sécurité en empêchant l’édition de grub et donc d’un accès root. Bien sûr, une telle protection est inutile si on peut démarrer sur un média externe comme une clef USB ou un lecteur optique. Un liveCD/USB permettrait de se donner un accès root. Il convient donc de protéger le bios également et de supprimer le démarrage sur média externe. Les puristes iront jusqu’à poser un cadenas sur la machine, protéger l’entrée de la salle par biométrie… :D bref, je m’égare.

Protéger grub, comment ?

Dans une console, on peut utiliser grub-md5-crypt :

grub-md5-crypt

Password:
Retype password:
$1$AvIeV/$e6WXVU5ubnIIZDgwuQ9iF.

Il suffit alors d'ajouter la ligne suivante
password --md5 $1$AvIeV/$e6WXVU5ubnIIZDgwuQ9iF.
dans le fichier /boot/grub/menu.lst

et c'est tout :)

Et pour les anti-consoles ?

Mandriva propose bien sûr une alternative à la console pour protéger son grub. Si vous démarrez la version actuelle du centre de contrôle Mandriva et allez dans l’onglet approprié, vous verrez cette interface.

Il y a en fait trois problèmes :
Premièrement, je ne trouve pas la présentation astucieuse. Comme vous pouvez le voir, il faut aller dans « avancé » pour activer la protection dont le mot de passe se trouve dans la fenêtre principale.
Deuxièmement, la case protection se retrouve être décoché si vous revenez plus tard dans cette interface alors que la protection est active et fonctionnelle.
Troisièmement, il est impossible de désactiver la protection…

Autant de soucis méritent un patch :)
J’ai donc ajouté plutôt une case à cocher dans l’interface principale, case qui va (dé)griser les champs pour le mot de passe selon qu’elle est active ou non. Le fait que la case précédente était toujours décochée venait simplement d’un oubli et la désactivation de la fonctionnalité était aussi un cas oublié. Tout ceci se retrouve donc dans le patch que j’ai proposé. La nouvelle interface deviendra (si mon patch est accepté) :

Peut-on faire encore mieux ?

Je pense que oui :) En effet, il faut garder en tête que lorsqu’on souhaitera éditer le grub (en pressant p), il faudra entrer son mot de passe en clavier qwerty (donc en aveugle si vous avez tout autre clavier). Mon idée serait de vérifier le clavier utilisé lorsque l’utilisateur a activé la fonctionnalité et afficher un petit message informatif dans les cas nécessaires.


tags :
10 votes
30/03/2010 19:12
Ecrit par François - Afficher l'article originel
Vus : 408
Publié par François : 67