Protect-GRUB2
Antoine Coulot

Antoine Coulot

Connexion root sans mot de passe

En temps normal, pour se connecter en tant que root, il faut renseigner le mot de passe choisi préalablement. Mais en éditant un paramètre du GRUB1 , il va nous être possible de se connecter en root sans aucun mot de passe. Nous allons donc voir comment faire pour se connecter sans mot de passe, puis comment se protéger afin que l’on ne puisse pas contourner l’authentification.

 

Versions utilisées :

Debian 9.3.0 64 bits

GRUB 2.02

 

Contourner l’authentification

Lors du démarrage de votre machine, le menu GRUB s’ouvre. Vous pouvez lancer votre système, aller dans les options avancées, ou éditer le GRUB.

 

Vous pouvez noter que la version du GRUB est indiquée en haut de l’écran. Cette version est importante car les paramètres diffèrent entre GRUB 1 (GRUB Legacy) et GRUB 2.

 

Allez maintenant dans les options avancées, puis éditez les paramètres de la ligne correspondante à votre système en appuyant sur « e ».

 

Nous voilà dans l’éditeur où les paramètres du démarrage sont stockés. Il faut maintenant trouver la ligne commençant par linux /boot/vmlinuz… et finissant par ro quiet.

 

Une fois cette ligne trouvée, modifiez les droits (ro (read only) correspondant à lecture seule) afin d’avoir les droits de lecture et d’écriture (rw (read write) pour lecture et écriture). Ajoutez « init=/bin/bash » à la fin de cette ligne afin de « demander » au kernel Linux de lancer /bin/bash au démarrage .

 

Votre ligne deviendra donc :

linux /boot/vmlinuz… rw quiet "init=/bin/bash"

 

Une fois cette modification faite, appuyez sur CTRL + X ou F10 comme indiqué pour démarrer avec ces paramètres. La machine démarre, et on peut constater que l’on est bien connecté en root.

 

Protéger l’édition du GRUB

Pour éviter le contournement de l’authentification, il faut mettre un mot de passe sur l’édition du GRUB.

Avant de commencer toute modification, faites une sauvegarde locale de votre configuration précédente.

cp /boot/grub/grub.cfg /var/backups/grub.cfg.old/

 

Ensuite, éditez la fichier grub.cfg afin d’y ajouter un mot de passe.

nano /boot/grub/grub.cfg

 

Allez à la fin du fichier, puis ajoutez les lignes suivantes :

#Password
set superusers = "utilisateur"
password utilisateur motdepasse

 

Pour ne pas stocker votre mot de passe en clair dans le fichier de configuration, vous pouvez générer un hash pour le mot de passe choisi grâce à la commande suivante :

grub-mkpasswd-pbkdf2

 

Il ne vous reste plus qu’à copier le hash (à partir de grub.pdbkdf2.sha512.10000…) à la place de votre mot de passe en clair dans le fichier grub.cfg.

 

Un mot de passe ne doit jamais être stocké en clair, il suffirait d’accéder à votre fichier pour connaître votre mot de passe.

 

1. Le GRUB (GRant Unifier Bootloader) est un programme d’amorçage. Il est lancé avant le système d’exploitation car il gère son chargement. Il permet aussi de choisir quel système d’exploitation lancer.

Partager cet article >

Partager sur linkedin
Partager sur skype
Partager sur email
Partager sur facebook
Partager sur twitter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour haut de page