Qualche tempo fa vi abbiamo illustrato un buon metodo per ripristinare la password di Ubuntu nel caso la si fosse dimenticata, agendo direttamente sul bootloader GRUB2 (che in alcuni casi può permettere l’accesso ad una shell single-user).
Come è giusto e lecito chiedersi – e come infatti il nostro lettore giupardeb, che ringraziamo per l’ispirazione, ci ha di fatto chiesto -, bisognerebbe anche conoscere un modo per evitare che ciò accada. Ad esempio, un utente malintenzionato potrebbe ritrovarsi faccia a faccia col vostro computer e decidere di modificare la password di Ubuntu per accedere ai vostri file privati in vostra assenza e, anche se provvisoriamente, “chiudervi fuori” dal vostro sistema.
Questo metodo esiste e corrisponde al proteggere GRUB2 con password, limitando non soltanto l’accesso ai sistemi operativi ma anche alle modifiche dei parametri d’avvio tramite riga di comando, così che la guida che vi abbiamo segnalato per ripristinare la password di Ubuntu non possa essere utilizzata se non si conosce quella di GRUB2.
La guida è stata testata su Ubuntu ma può essere utilizzata in maniera simile su tutte le altre distribuzioni che utilizzano GRUB2 come bootloader.
Proteggere GRUB2 con password
Scelta password e (opzionale) cifratura
La prima cosa da fare è scegliere un nome utente ed una password, entrambi arbitrari (non c’è bisogno che coincidano con le credenziali di accesso al sistema), che andremo a specificare nel file di configurazione di GRUB2. E’ possibile specificare, nel file di configurazione, sia la password in chiaro che un hash della password scelta; per questioni di sicurezza vi suggeriamo di preferire la seconda opzione, tuttavia vi illustreremo entrambi i metodi.
Supponiamo di aver scelto come utente malefika e come password 123pippo. Se avete intenzione di utilizzare la password in chiaro potrete saltare direttamente alla modifica del file di configurazione, altrimenti dovrete generare l’hash della password scelta. Per farlo, da terminale, digitate
grub-mkpasswd-pbkdf2
seguito da Invio: quando richiesto digitate la password scelta e date invio e digitatela una seconda volta per sicurezza (dando ancora invio); il sistema genererà un hash del tipo grub.pbkdf2.sha512.qualcosa_di_molto_lungo. Annotate l’intero hash, vi servirà tra breve.
Modifica del file di configurazione
Per prima cosa create un backup (non eseguibile, che quindi non sarà letto da GRUB2) del file che andremo a modificare. Aprite un terminale e digitate
sudo cp /etc/grub.d/40_custom /etc/grub.d/40_custom.bak sudo chmod a-x /etc/grub.d/40_custom.bak
Aprite in modifica il file di configurazione originale di GRUB2, digitando
sudo xdg_open /etc/grub.d/40_custom
dopodiché recatevi alla fine del file, andate a capo rigo e, se avete scelto di utilizzare la password in chiaro, scrivete nel file quanto segue:
set superusers="nome_utente_scelto" password nome_utente_scelto password_scelta
Che, nel nostro esempio, diventa
set superusers="malefika" password malefika 123pippo
Se invece avete scelto di utilizzare la password cifrata, il codice da specificare all’interno del file sarà
set superusers="nome_utente_scelto" password_pbkdf2 nome_utente_scelto hash_annotato_in_precedenza
Che, nel nostro esempio, diventa simile a
set superusers="malefika" password_pbkdf2 malefika grub.pbkdf2.sha512.12380dbvbhwecceteraeccetera
Salvate il file così modificato e chiudete l’editor.
Salvataggio delle modifiche
Ora non vi resterà che aggiornare la configurazione di GRUB2 per rendere operativi il nome utente e la password scelta; per farlo, digitate da terminale
sudo update-grub2
seguito da Invio, stando attenti ad eventuali segnalazioni d’errore. A questo punto riavviate il computer: vi sarà chiesta una password sia per avviare i vari sistemi operativi che per accedere alle opzioni da linea di comando.
In pratica, il vostro GRUB2 sarà completamente protetto da accessi esterni.
Considerazioni finali
Con alcune piccole modifiche al procedimento qui descritto, è possibile proteggere anche solo l’avvio di determinati sistemi operativi oppure di definire diversi livelli di utenza, e dunque di protezione. Tali accorgimenti sono però fuori dallo scopo di questa guida, pertanto vi rimandiamo alla pagina Wiki di Ubuntu per ulteriori informazioni.
LINK | Grub2/Passwords (Ubuntu Wiki)
Per fare questa operazione occorre prima risolvere il problema dell’accesso con la nuova password, quella dimenticata e che non è possibile averla come riferimento. C’è un modo per risolvere il problema senza riportare la password vecchia ?
La password su grub è una pratica poco usata perchè se hai accesso fisico alla macchina (quindi al boot) difficilmente ti si può impedire di metterci le mani. Se fai avviare una live puoi cambiare la password di root, modificare le impostazioni di grub, rimuovere la password di grub… Per impedirlo bisogna, in ordine: password su grub, avvio dispositivi diversi da HDD disabilitato, password su BIOS, lucchetto su chassis. Dato che forzare lo chassis non è difficile, quindi la soluzione ultima è mettere sotto chiave la macchina, quindi non hai accesso fisico, quindi non serve neanche la password su GRUB…
Stefano
@Malefika, il comando xdg_open, deve essere sostituito con xdg-open ;)
neanche il tempo di respirare che già si butta giù un altro articolo xD. Grazie mille!!! ;)
non cera un bug che ti faceva entrare semplicemente premendo delete un certo numero di volte?
mi piacerebbe provare, precisamente dove si dovrebbe premere delete?
alla richiesta della password nel grub. è una notizia che ho letto distratto nel web
Dovrebbe essere gia stato risolto