In questa guida vedremo come inserire un login per accedere al bootloader GRUB per rendere più sicuro il nostro pc.

Grub - inserimento password
La stragrande maggioranza delle distribuzioni Linux utilizza come bootloader predefinito GRUB, soluzione in grado di fornire anche utili funzionalità. In Ubuntu e derivate ad esempio è disponibile da GRUB l’accesso alla modalità di ripristino (per maggiori informazioni) la quale ci consente anche di accedere al nostro sistema da root senza conoscere alcuna password, funzionalità che potrebbe essere utilizzata ad esempio per modificare le nostre credenziali, creare nuovi utenti ecc. Possiamo rendere il tutto più sicuro semplicemente creando una password per accedere al bootloader GRUB, rendendo quindi impossibile l’accesso alla modalità di ripristino o l’avvio dei nostri sistemi operativi da parte di utenti malintenzionati.

Inserire la password per accedere al bootloader GRUB è abbastanza semplice, la prima cosa da fare è avviare il terminale e digitare:

sudo grub-mkpasswd-pbkdf2

ci verrà chiesto di inserire la password che vogliamo utilizzare per accedere al bootloader GRUB, una volta inserita e confermata avremo un stringa simile a grub.pbkdf2.sha512.xxxxx ecc (come da immagine in basso) selezioniamola e copiamola nel nostro editor di testo preferito (esempio Gedit, Kate ecc).

Grub - creazione password

A questo punto inseriamo la password nelle impostazioni del bootloader GRUB, prima di tutto facciamo un backup delle attuali impostazioni digitando:

sudo cp /etc/grub.d/40_custom /etc/grub.d/40_custom.old

ed editiamo /etc/grub.d/40_custom digitando:

sudo nano /etc/grub.d/40_custom

ed aggiungiamo

set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.xxxxx 

dove al posto di grub.pbkdf2.sha512.xxxxx dovremo inserire la stringa copiata in precedenza.

Editor bootloader Grub

Salviamo il tutto con Ctrl + x e poi s e aggiorniamo il bootloader GRUB con un bel:

sudo grub-mkconfig -o /boot/grub/grub.cfg

non ci resta che riavviare, al riavvio dovremo inserire come login il nostro username o root seguito dalla password creata in precedenza. Se tutto corretto avremo l’accesso al bootloader e la possibilità di accedere ai vari sistemi operativi, modalità di ripristino ecc.

Per ripristinare il bootloader come da default basta digitare:

sudo cp /etc/grub.d/40_custom.old /etc/grub.d/40_custom
sudo grub-mkconfig -o /boot/grub/grub.cfg

e riavviamo la nostra distribuzione.

  • Alessandro Zigrino

    vorrei capire, ma i driver open per le gpu AMD ATI vengono aggiornati insieme al kernel? cioè, sono compresi in questi kernel?

    • Ermy_sti

      si per i driver open ovviamente ma non tutti i rilasci…leggi i changelog e vedi ma credo che quasto non contenga aggiornamenti per sk video

  • supermarioprof

    problemi con bcmwl ! bad error

  • Ocelot

    Per accedere s’intende arrivare alla schermata della selezione degli OS o di modificare le entry di grub (dalla schermata di grub appunto)? Perchè se è per solo modificare allora è buono, altrimenti se è da inserire a ogni avvio dovrei dire ai miei genitori una password che scorderanno istantaneamente.

    • Nel tuo caso hai ragione ma pensa in un ambiente di lavoro quanto potrebbe essere importante una cosa del genere.

      • Ocelot

        Vabbe ma le aziende serie criptano tutto l’hard disk. Non funziona il trucchetto della shell di root con l’hdd criptato.

        • sabayonino

          in caso di disco non criptato , tolgo il disco , lo collego ad usb , chroot/monto/rompo … et voilà . faccio tutto quello che voglio …o utilizzo una live.

          come sempre.

          e la password di grub non serve ad un tubo.

          PS : alcuni bios consentono l’accesso al disco tramite password.

          per chi vuole :
          1 -password da bios

          2 -password da grub
          3 -passowrd della criptomaniaca-partizione7
          4 -password del login

          mi raccomando …. password diverse !!

          😀 😀

          • Ocelot

            La password da bios non la dovresti contare. O si leva la batteria o si mette una password “master” che si trova su internet. L’unica cosa che garantisce veramente è criptare l’hard disk.

          • sabayonino

            non la password per accedere al bios.

            alcuni bios permettono di attivare una passowrd per l’HDD 😉

            no crypt…no paty 😛

  • asd

    grub arriva dopo il bios, quindi bisogna prima disabilitare boot da usb (e altri come floppy, rete, e firewire per quei pochi che ce l’hanno) poi mettere una password al bios. O azioni equivalenti per i sistemi che hanno EFI. Allora questa misura ha senso.

    • Kim Allamandola

      Ha senso per cosa? Capirei in un laboratorio dove hai esigenze particolari (es. accorgerti senza avere un monitor sw che qualcuno ha riavviato la macchina) ma sul piano della sicurezza direi che non serva a nulla… Per renderla efficace dovresti avere anche case con lucchetto rivettati (domesticamente parlando, rari) e ti servirebbe solo come protezione minima (ovvero non funzionante in caso di furto/scassinamento fisico della macchina)…

  • cyberbob

    Invece per NASCONDERE il menu di Grub all’avvio del PC e farlo apparire premendo SHIFT, come mi pare di capire avveniva in vecchie versioni, non è più possibile?? Ho provato con varie guide ma non si “nasconde”!!!

  • alkmist

    tutto questo è inutile, come hanno già detto, si prende l’hd e si collega al proprio pc. Se proprio si vuole proteggere il sistema e/o i dati veramente, allora bisogna criptare la partizione dati o l’intero sistema (lvm criptato). Ormai i nuovi installer di debian, ubuntu, linux mint e sicuramente altri, ti permettono di fare tutto graficamente senza aver bisogno di modificare e configurare nulla manualmente. Chiaro se perdi la password sei fot…….. Inoltre anche se sembra un parodosso si ottengono migliori prestazioni criptato l’intero sistema contenuto in lvm, rispetto a criptare unicamente la partizione dati.

    • Kim Allamandola

      Concordo. Un po’ meno sul far tutto via grafica (DI permette di gestire tutto dalla sua UI, Ubiquity devi aprire te a mano LUKS e attivare i volumi LVM (e si lamenta pure), fa “tutto” solo nel caso di fresh-install…

      Giusto proseguendo un discorso sulla Via Dell’OpenSource nato in questi lidi, per chi vuol provare la cifratura su un desktop personale consiglio di affettare il disco così:
      EFI (se vi serve)
      Boot (ext3 non più di 200Mb in genere)
      LUKS con dentro un VG “miaDistro” e
      LV-swap
      LV-root
      LV-home

      Le performance un pelo calano ma su macchine recenti il calo praticamente non si nota nella quasi totalità degli usi. La home sotto encfs che propone Ubiquity al contrario ha un’overhead SPAVENTOSA.

No more articles