Seguridad física al inicio de nuestra PC

2009 Febrero 17
etiquetas: , , , , , , , ,
by Overclock_Orange

Hoy, luego de un día de trabajo, me puse a pensar en métodos que he aplicado para asegurar físicamente el acceso a mi PC de escritorio, en mi casa no tiene mucho sentido realizarlo, soy la única persona que utiliza la PC, mi casa es bastante segura, y raramente recivo visitas que se pongan a jugar con mi PC.
Pero si es un buen mecanísmo para realizar en empresas o instituciones donde cualquier persona pueda tener contacto con una PC.

Configuración del BIOS:
El ordén de booteo de nuestro sistema, sera fundamental para asegurar la seguridad de nuestro PC, para ello, debe habilitarse únicamente el inicio desde el disco duro que estemos utilizando, desabilitando el inicio desde pendrives, CD’s, disquettes, etc.
Una vez realizado esto, seria conveniente bloquear el Setup del BIOS con alguna contraseña. Ya se que la password puede resetearse con el Jumper que se encuentra entre la pila y el CMOS, para evitar esto, un pequeño consejo, tener nuestra PC cerrada, sin ninguna tapa lateral abierta, ya que dificultara más la taréa de la persóna que quiera comprometer nuestra seguridad.

Configuración de GRUB:
Tener el GRUB protegido por una password es una taréa sencilla, la cual puede ser bastante efectiva a la hora de protegernos, el intruso ya no puede bootear desde otro dispositivo, y para ingresar a la BIOS tiene que poner un password, pero si tiene acceso al GRUB tiene acceso a todo el sistema, ya que agregando solamente un paramétro en el menú de edición de grub, puede acceder a la raiz del sistema con permisos de escritura en ella (y borrado también :P), para ello lo útil es proteger a nuestro grub con una contraseña.
Para realizar esto, se debe incorporar entre las líneas title y root la opción password, con esto configurado podemos incluir una contraseña de dos formas, en texto plano (poco recomendable) y cifrada con MD5, lo cual nos garantiza un poco más de seguridad a la hora de obtenerla y desencriptarla.

Un ejemplo de una password en texto plano seria:

title           Debian GNU/Linux, kernel 2.6.28.3
password        merlin1234
root            (hd0,5)
kernel          /boot/vmlinuz-2.6.28.3 root=/dev/sda6 ro quiet vga=792
initrd          /boot/initrd.img-2.6.28.3

En cambio si utilizamos una password encriptada con MD5 seria:

title           Debian GNU/Linux, kernel 2.6.28.3
password        $1$zTsbv$JIPQshJ4UtExm7KAavWi21
root            (hd0,5)
kernel          /boot/vmlinuz-2.6.28.3 root=/dev/sda6 ro quiet vga=792
initrd          /boot/initrd.img-2.6.28.3

Lo que dificulta notablemente al intruso a la hora de entrar.
Para poder generar una passowrd encriptada con MD5 en la shell escribimos:

#: grub-md5-crypt
Password:
Retype password:
$1$zTsbv$JIPQshJ4UtExm7KAavWi21

Donde deberemos escribir la password dos veces (por redundancia), y nos devolvera por la salida estandár la password encriptada.

Podemos aplicar esta característica a cada una de las entradas de GRUB, tanto al inicio del sistema estandar, como así también al recovery mode, como así también podemos aplicar una contraseña distinta para cada una de las entradas.
Para conocer más sobre las distintas opciones de GRUB pueden consultar el manual del mismo.

Junto con estas opciones, tenemos algunas directivas más que establecer, al iniciar nuestro sistema evitar el acceso automático para algún usuario (si utilizan GDM, KDM, u otros), establecer una contraseña segura para el o los usuarios regulares como así también para root.
Estos son solos algunos consejos utiles que esta bueno aplicar, para evitar que cualquier persona no deseada utilize una PC que no queremos, comprometiendo de esta forma la integridad de los sistemas.

from → Debian, Linux, Red Hat, Seguridad, Ubuntu

Una respuesta dejar un →
  1. 2009 Febrero 18
    Corrector ortográfico Enlace permanente

    echo “rebundancia” | sed -e ’s/b/d/’

Escribe un comentario

Nota: Puede usar XHTML básico en sus comentarios. Su dirección de correo electrónico nunca será publicada.

Subscripción al comentario vía RSS