Criptografia en Casa (Grub)
2008-06-23 22:52:40-05
Software
Es uno de esos dias nublados, que hacen recordar los viejos tiempos y entre esos recuerdos lejanos o cercanos, habia uno relacionado con la seguridad y la criptografia. El amargo abrir de ojos de un compañero mononeuron al entender que vivía en la ilusión de una perfecta seguridad de un "Linux" accedido físicamente.
Diria el maestro Bruce Schneier:
"La criptografia no es la solución para tus problemas de seguridad, pero si es gran parte de esa solución"
Bueno, me quiero permitir (Después de todo es mi blog) dar una pequeña guia que se mueva de forma paralela a las explicaciones teoricas de criptografia, esta primera es sobre el grub, que es en primera instancia, la que podria ser nuestra primera defensa contra intrusiones o su puerta de acceso (Single User Mode).
Este es un método perfectamente documentado en el archivo de configuración del grub (menu.lst) y que se refiere a incluir una contraseña para acceder a los SOs o incluir una contraseña para cada SO.
Pondremos un ejempo real, digamos que una contraseña que me viene a la mente es "SMZG" -cada dia, todos los dias- podriamos agragarla a la entrada del grub de la siguiente forma:
title Debian GNU/Linux, 2.6.25-2-486 (IronHorse)
password SMZG
root (hd1,0)
kernel /boot/vmlinuz-2.6.25-2-486 root=/dev/hdb1 ro quiet
initrd /boot/initrd.img-2.6.25-2-486
savedefault
Este método es limitado, pues la misma contraseña esta escrita en el archivo de configuración (ademas la contraseña es debil, pero es solo con fines educativos) pero se nos ofrece la oportunidad de mejorarlo por medio de cifrado MD5, aunque Advierto, MD5 ya no es considerado seguro, desde hace tiempo se utilizan metodos refinados de fuerza bruta como el ataque de cumpleaños, Rainbow Tables o incluso hay paginas especializadas como esta, pero peor es nada, esto lo hacemos asi:
Primero usamos la instruccion grub-md5-crypt
$ sudo grub-md5-crypt
Password:
Retype password:
$1$jFCEZ$aTHSH1l74enrXo621N7hE0 <---SMZG en MD5
Esto mismo lo agragamos a la entrada del menu.lst
title Debian GNU/Linux, 2.6.25-2-486 (IronHorse)
password --md5 $1$jFCEZ$aTHSH1l74enrXo621N7hE0
root (hd1,0)
kernel /boot/vmlinuz-2.6.25-2-486 root=/dev/hdb1 ro quiet
initrd /boot/initrd.img-2.6.25-2-486
savedefault
Podríamos si quisiéramos bloquear el Grub entero colocando el parámetro password antes de la lista de entradas de arranque y si tu paranoia es excesiva puedes combinar el bloqueo del grub entero con el bloqueo particular de cada entrada de arranque.
Un ejemplo seria este:
#################################################
#Grub password
password --md5 $1$jFCEZ$aTHSH1l74enrXo621N7hE0
title Debian GNU/Linux, 2.6.25-2-486 (IronHorse)
password --md5 $1$oNuGZ$8zM2knnr85lkww9hm9adu1
root (hd1,0)
kernel /boot/vmlinuz-2.6.25-2-486 root=/dev/hdb1 ro quiet
initrd /boot/initrd.img-2.6.25-2-486
savedefault
title Debian GNU/Linux, 2.6.25-2-486 (IronHorse) (Single)
password --md5 $1$BVuGZ$iwRIozTdLzzbCnGmT3jy91
root (hd1,0)
kernel /boot/vmlinuz-2.6.25-2-486 root=/dev/hdb1 ro single
initrd /boot/initrd.img-2.6.25-2-486
savedefault
title NetBSD 4.0 (SPARTAN)
password --md5 $1$e/vGZ$HO1nBiffRvTkFOyK0jAQV1
root (hd1,2)
chainloader +1
#################################################
Como nota final sugiero que siempre utilicen contraseñas fuertes y que recuerden si el intruso tiene acceso físico a su computadora bastara un live-cd para volar esta pequeña medida de seguridad y que conozcan tus mas obscuros secretos.
En la siguiente entrada veremos mas medidas preventivas.
P.D: Si te interesa saber un poco de contraseñas fuertes y fuerza bruta puchale aqui
Diria el maestro Bruce Schneier:
"La criptografia no es la solución para tus problemas de seguridad, pero si es gran parte de esa solución"
Bueno, me quiero permitir (Después de todo es mi blog) dar una pequeña guia que se mueva de forma paralela a las explicaciones teoricas de criptografia, esta primera es sobre el grub, que es en primera instancia, la que podria ser nuestra primera defensa contra intrusiones o su puerta de acceso (Single User Mode).
Este es un método perfectamente documentado en el archivo de configuración del grub (menu.lst) y que se refiere a incluir una contraseña para acceder a los SOs o incluir una contraseña para cada SO.
Pondremos un ejempo real, digamos que una contraseña que me viene a la mente es "SMZG" -cada dia, todos los dias- podriamos agragarla a la entrada del grub de la siguiente forma:
title Debian GNU/Linux, 2.6.25-2-486 (IronHorse)
password SMZG
root (hd1,0)
kernel /boot/vmlinuz-2.6.25-2-486 root=/dev/hdb1 ro quiet
initrd /boot/initrd.img-2.6.25-2-486
savedefault
Este método es limitado, pues la misma contraseña esta escrita en el archivo de configuración (ademas la contraseña es debil, pero es solo con fines educativos) pero se nos ofrece la oportunidad de mejorarlo por medio de cifrado MD5, aunque Advierto, MD5 ya no es considerado seguro, desde hace tiempo se utilizan metodos refinados de fuerza bruta como el ataque de cumpleaños, Rainbow Tables o incluso hay paginas especializadas como esta, pero peor es nada, esto lo hacemos asi:
Primero usamos la instruccion grub-md5-crypt
$ sudo grub-md5-crypt
Password:
Retype password:
$1$jFCEZ$aTHSH1l74enrXo621N7hE0 <---SMZG en MD5
Esto mismo lo agragamos a la entrada del menu.lst
title Debian GNU/Linux, 2.6.25-2-486 (IronHorse)
password --md5 $1$jFCEZ$aTHSH1l74enrXo621N7hE0
root (hd1,0)
kernel /boot/vmlinuz-2.6.25-2-486 root=/dev/hdb1 ro quiet
initrd /boot/initrd.img-2.6.25-2-486
savedefault
Podríamos si quisiéramos bloquear el Grub entero colocando el parámetro password antes de la lista de entradas de arranque y si tu paranoia es excesiva puedes combinar el bloqueo del grub entero con el bloqueo particular de cada entrada de arranque.
Un ejemplo seria este:
#################################################
#Grub password
password --md5 $1$jFCEZ$aTHSH1l74enrXo621N7hE0
title Debian GNU/Linux, 2.6.25-2-486 (IronHorse)
password --md5 $1$oNuGZ$8zM2knnr85lkww9hm9adu1
root (hd1,0)
kernel /boot/vmlinuz-2.6.25-2-486 root=/dev/hdb1 ro quiet
initrd /boot/initrd.img-2.6.25-2-486
savedefault
title Debian GNU/Linux, 2.6.25-2-486 (IronHorse) (Single)
password --md5 $1$BVuGZ$iwRIozTdLzzbCnGmT3jy91
root (hd1,0)
kernel /boot/vmlinuz-2.6.25-2-486 root=/dev/hdb1 ro single
initrd /boot/initrd.img-2.6.25-2-486
savedefault
title NetBSD 4.0 (SPARTAN)
password --md5 $1$e/vGZ$HO1nBiffRvTkFOyK0jAQV1
root (hd1,2)
chainloader +1
#################################################
Como nota final sugiero que siempre utilicen contraseñas fuertes y que recuerden si el intruso tiene acceso físico a su computadora bastara un live-cd para volar esta pequeña medida de seguridad y que conozcan tus mas obscuros secretos.
En la siguiente entrada veremos mas medidas preventivas.
P.D: Si te interesa saber un poco de contraseñas fuertes y fuerza bruta puchale aqui
Permalink: http://www.mononeurona.org/users/entry/vendaval/1391
Comentblogs:1.- 
saidjose wrote:
Interesante articulo Vendaval, la verdad tratare de aplicarlo, aunque sea como curiosidad
2008-06-25 14:21:50-05
saidjose wrote: Interesante articulo Vendaval, la verdad tratare de aplicarlo, aunque sea como curiosidad
2008-06-25 14:21:50-05
