Mot de passe pour sécuriser GRUB

Noobian1 · Mars 30, 2020, 6:01pm

Bonjour,

Je suis très jeune débutant dans l’univers linux et je cherche à sécuriser les modifications de grub au démarrage ou même avoir accès à un bash en root.

J’ai trouvé plein de tutos pour me servir de la commande grub-mkpasswd-pbkdf2 et l’intégrer à /etc/grub.d/00_header, seulement une fois fait quand je reboot mon mot de passe n’est jamais reconnu et quand je fais plusieurs fois la commande grub-mkpasswd-pbkdf2 d’affilée avec le même mot de passe je n’ai jamais le même hash en réponse.

Est-ce normal? Comment peut-il déchiffrer mon mot de passe si le hash n’est jamais le même?

Je vous remercie d’avance.

PascalHambourg · Mars 30, 2020, 9:33pm

As-tu pris en compte le fait que dans GRUB le clavier est géré avec la disposition QWERTY US par défaut ?

Oui, c’est normal : le hash est “salé” pour renforcer sa sécurité. Pour les explications voir https://fr.wikipedia.org/wiki/Salage_(cryptographie)

Noobian1 · Mars 31, 2020, 6:45am

C’est bien plus clair avec l’explication sur le salage merci @PascalHambourg . J’avais lu, en faisant `info grub-mkpasswd-pbkdf2´, que la valeur par défaut de la longueur du sel est de 64 et celle de la longueur du hash est 64 également aussi je m’étonnais que le hash soit si long mais je me suis aperçu qu’il y avait un . au milieu ça séparerait donc le sel et le hash peut-être pour pouvoir décrypter celui-ci.

Je vais creuser et faire des essais avec les différentes options de la commande.

Je suis arrivé à le faire fonctionner avec le mot de passe en clair et j’avais bien pris en compte le fait que ce soit en QWERTY car le login est affiché quand on le tape mais j’étais passé par l’interface graphique avec leafpad pour éditer le fichier 00_header par contre le dernier essai concluant était dans bash en root en utilisant nano.

Je vous tiens au courant de mes prochains essais et passerait le sujet en résolu si c’est le cas.

Merci encore.

Zargos · Février 3, 2021, 4:40pm

le mot de passe n’est pas reconnu parce que par defaut, le clavier est en en-US quand grub démarre. Il faut le mettre en fr-FR.

PascalHambourg · Février 3, 2021, 4:58pm

C’est fiable ? Je n’ai jamais essayé avec GRUB, mais j’avais testé avec LILO et c’était très perfectible ; de mémoire ça ne gérait pas AltGr, les touches mortes…

Zargos · Février 3, 2021, 5:19pm

Pour AltGR ca marche, les touches mortes je ne sais aps je n’ai pas testé. MAis sinon ca marche bien.
C’est un peu chiasseu à faire.
En gros, il faut faire un répertoire /boot/grub/layout et mettre le layout du clavier dans celui-ci. Après il suffit de mettre dans le menu de lancement (grub.cfg ou isolinux###.cfg suivant le cas).
de mémoire tu dois peut pouvoir le mettre dans le /etc/default/grub mais je ne suis pas sur.

Noobian1 · Février 3, 2021, 5:56pm

Je faisais des tests pour essayer d’introduire des postes sous Debian dans le parc informatique de l’entreprise où je travaille mais Microsoft étant tellement intégré dans les habitudes que j’ai fait un flop et du coup j’ai abandonné mes tests mais j’espère que ce sujet pourra aider des gens qui le consulterons plus tard.
Merci pour votre aide.