Linux sunucularda root şifresi unutulduğunda GRUB menüsüne girilerek çok hızlı bir şekilde şifrenin sıfırlanması, büyük bir avantaj gibi görünse de aslında önemli güvenlik zafiyetlerinden bir tanesidir. Yetkisiz kişilerin bu durumdan yararlanarak sorumluluğunuzdaki sunucunun root şifresini sizden habersiz bir şekilde sıfırlaması hoş bir durum değildir. Elbette GRUB menüsüne girerek sadece şifre sıfırlanmamaktadır. Sudoers içerisine root yetkisi olmayan kişiler eklenebilir veya yapılandırma dosyalarında düzenlemeler yapılabilir.
Bu blog yazımızda Ubuntu bir sunucunun GRUB menüsüne bir şifre koyarak GRUB menüsünü güvenli hale getireceğiz. Diğer Linux sistemlerde de benzer komutlar geçerlidir. Aynı yolu izleyerek ve biraz araştırma yaparak GRUB menüsüne şifre koyulabilir.
Not: Değişiklik yaptığınız dosyanın bir yedeğini mutlaka alın ve işlemleri test ortamında deneyerek tecrübe edinin.
Root yetkili bir kullanıcıyla sunucuya login oluyoruz. Ardından şifreli (encrypted) bir parola oluşturmak için grub-mkpasswd-pbkdf2 komutunu çalıştırıyoruz. Pbkdf2, girdiğimiz parolayı şifrelenmiş bir anahtar haline getiriyor.
Ekran çıktısındaki grub kısmından başlayıp en sona kadar olan bölümü kopyalıyoruz. GRUB menüsüne şifreli erişimi açmak için /etc/grub.d/00_header dosyasının en sonuna, oluşturduğumuz şifrelenmiş anahtarı ve superuser bilgilerini manuel ekliyoruz.
sudo nano /etc/grub.d/00_header
cat << EOF
set superuser=”username”
password_pbkdf2 username şifreli_parola
Dosyanın en sonuna eklediğiniz bilgiler aşağıdaki gibi görünecek.
Yaptığımız değişikliğin grub.cfg dosyasında güncellenmesi için update-grub komutunu çalıştırıyoruz.
sudo update-grub
Test etmek için sunucuyu reboot ediyoruz. Sunucu yeniden açılırken SHIFT tuşuna basalı tutarak GRUB menüsüne girin ve e tuşuna basarak düzenlemeye yapmaya çalışın. Sizden, makalenin başında belirlediğiniz kullanıcı adı ve şifre istenecek. Bilgilerinizi girdikten sonra GRUB menüsüne erişim sağlayabilirsiniz.
Eğer Grub şifresini kaldırmak isterseniz 00_header dosyasına eklediğiniz satırların başına # işareti veya satırları silerek kaldırdıktan sonra dosyayı kaydedin ve update-grub komutuyla ayarları güncelleyin.
Faydalı olması dileğiyle,