Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
utilisateurs:watts:brouillon_securite_grub [Le 29/03/2020, 11:55]
Watts [Sécuriser Grub2 de manière avancée]
utilisateurs:watts:brouillon_securite_grub [Le 03/06/2023, 08:39] (Version actuelle)
geole [Autres pages en rapport]
Ligne 2: Ligne 2:
 ====== Sécuriser Grub2 de manière avancée ====== ====== Sécuriser Grub2 de manière avancée ======
  
-Ce tutoriel s'​adresse à des utilisateurs confirmés en utilisation de la ligne de commande et en dépannage de démarrage. Sinon, vous allez droit vers la réinstallation pure et simple ! +Ce tutoriel s'​adresse à des utilisateurs confirmés en utilisation de la ligne de commande et en dépannage de démarrage. Sinon, vous allez droit vers la réinstallation pure et simple !
  
 Ce tutoriel explique comment sécuriser le menu [[:​grub-pc|Grub]] de manière avancée. Si protéger l'​édition des entrées est déjà un point important, il ne faut pas oublier que n'​importe qui peut démarrer un noyau en mode [[:​recovery_mode|recovery]],​ et obtenir une console root par la suite! Il serait donc avantageux de ne permettre l'​accès à un noyau recovery qu'en possession du mot de passe. ​ Ce tutoriel explique comment sécuriser le menu [[:​grub-pc|Grub]] de manière avancée. Si protéger l'​édition des entrées est déjà un point important, il ne faut pas oublier que n'​importe qui peut démarrer un noyau en mode [[:​recovery_mode|recovery]],​ et obtenir une console root par la suite! Il serait donc avantageux de ne permettre l'​accès à un noyau recovery qu'en possession du mot de passe. ​
Ligne 22: Ligne 22:
 <code bash>​sudo cp -p mnt/​boot/​grub/​grub.cfg.DATE mnt/​boot/​grub/​grub.cfg</​code>​ <code bash>​sudo cp -p mnt/​boot/​grub/​grub.cfg.DATE mnt/​boot/​grub/​grub.cfg</​code>​
  
-si la racine de votre système est montée sur mnt. +si la racine de votre système est montée sur mnt.
  
 Pour toutes ces raisons, ce tutoriel n'est pas adapté aux débutants en ligne de commande. Pour toutes ces raisons, ce tutoriel n'est pas adapté aux débutants en ligne de commande.
Ligne 47: Ligne 47:
 </​code>​ </​code>​
  
-Le mot de passe n'est pas identique, mais c'est normal. Ce qui compte, c'est que le script fasse son travail. En particulier,​ que le superusers toto soit créé et fonctionne. ​+Le mot de passe n'est pas identique, mais c'est normal. Ce qui compte, c'est que le script fasse son travail. En particulier,​ que le superusers toto soit créé et fonctionne.
  
 ===== Modifier le script 00_security_header ===== ===== Modifier le script 00_security_header =====
Ligne 61: Ligne 61:
 </​code>​ </​code>​
  
-Nous utilisons une variable pour déterminer les utilisateurs autorisés à faire quelque chose (nous définirons le quelque chose plus tard) Les commandes **export** permettent de changer la portée des variables afin qu'​elles soient valables dans les autres fichiers de configuration de Grub. +Nous utilisons une variable pour déterminer les utilisateurs autorisés à faire quelque chose (nous définirons le quelque chose plus tard) Les commandes **export** permettent de changer la portée des variables afin qu'​elles soient valables dans les autres fichiers de configuration de Grub.
  
 Voilà maintenant à quoi ressemble **00_security_header** Voilà maintenant à quoi ressemble **00_security_header**
Ligne 92: Ligne 92:
 </​code>​ </​code>​
  
-C'est la ligne qui définit toutes les entrées des noyaux dans le sous menu "​Options avancées"​. ​+C'est la ligne qui définit toutes les entrées des noyaux dans le sous menu "​Options avancées"​.
  
    * Nous allons écrire **\$restricted** afin d'​inclure le contenu de la variable restricted dans la ligne d'​entrée ci dessus et enlever la variable **\$menuentry_id_option**,​ qui annulerait ce qu'on vient d'​écrire. Cela donne:    * Nous allons écrire **\$restricted** afin d'​inclure le contenu de la variable restricted dans la ligne d'​entrée ci dessus et enlever la variable **\$menuentry_id_option**,​ qui annulerait ce qu'on vient d'​écrire. Cela donne:
Ligne 110: Ligne 110:
 ===== En cas de dual-boot avec un autre Système type Debian ===== ===== En cas de dual-boot avec un autre Système type Debian =====
  
-Si vous êtes en dual-boot avec un autre système fonctionnant de la même manière (avec un sous menu "​Options Avancées"​),​ les manipulations ci haut sont à faire sur le grub maître (celui qui se lance). ​+Si vous êtes en dual-boot avec un autre système fonctionnant de la même manière (avec un sous menu "​Options Avancées"​),​ les manipulations ci haut sont à faire sur le grub maître (celui qui se lance).
  
-De plus, de manière personnelle,​ pour limiter les entrées répétitives,​ je désactive le script **30_os-prober** pour tout les grub non maître: ​+De plus, de manière personnelle,​ pour limiter les entrées répétitives,​ je désactive le script **30_os-prober** pour tout les grub non maître:
  
 <code bash>​sudo chmod -x /​etc/​grub.d/​30_os-prober</​code>​ <code bash>​sudo chmod -x /​etc/​grub.d/​30_os-prober</​code>​
Ligne 122: Ligne 122:
 ==== Modification de 30_os-prober ==== ==== Modification de 30_os-prober ====
  
-Le fichier **30_os-prober** génère le menu grub pour les autres systèmes détectés par os-prober. Il suffit de trouver la ligne concernant le menu "​Options Avancées"​ et de faire la même manipulation que dans la partie précédente. ​+Le fichier **30_os-prober** génère le menu grub pour les autres systèmes détectés par os-prober. Il suffit de trouver la ligne concernant le menu "​Options Avancées"​ et de faire la même manipulation que dans la partie précédente.
  
   * Ligne 292, vous avez:   * Ligne 292, vous avez:
Ligne 146: Ligne 146:
   * [[:​grub-pc]]   * [[:​grub-pc]]
   * [[:​securite]]   * [[:​securite]]
 +===== Discussions en rapport =====
 +  * [[https://​forum.ubuntu-fr.org/​viewtopic.php?​pid=22682349#​p22682349|Posei]]
  
  
 //​Contributeurs principaux : [[:​utilisateurs:​watts]] ​ //​Contributeurs principaux : [[:​utilisateurs:​watts]] ​
  • utilisateurs/watts/brouillon_securite_grub.1585475703.txt.gz
  • Dernière modification: Le 29/03/2020, 11:55
  • par Watts