Proteksi GRUB Dengan Password Terenkripsi

Maret 17, 2008 — rotyyu

GNU GRUB (GRand Unified Boot loader) sebagai sebuah boot loader mempunyai sebuah fitur yang memungkinkan seorang user mengubah paramater tertentu sebelum memuat kernel yang dipilih. Parameter ini biasa digunakan untuk mengubah perilaku kernel selama proses booting. Untuk melakukan hal ini seorang pengguna cukup mengikuti instruksi yang ditampilkan (ada di bagian bawah) di menu GRUB (biasanya dengan menekan tombol e).

Namun tahukan Anda bahwa fitur ini juga bisa dimanfaatkan untuk memperoleh akses root? Caranya juga sangat mudah, cukup dengan menambahkan parameter single atau rw init=/bin/bash di akhir baris kernel parameter (bahkan di Ubuntu cukup dengan melakukan boot ke recovery mode), Anda akan dibawa menuju sebuah prompt dengan kekuasaan super.

Tapi tidak perlu khawatir, karena GRUB juga mempunyai sebuah fitur lain untuk mengatasi masalah tersebut. Fitur dimaksud adalah password terenkripsi, dengan fitur ini seseorang yang ingin melakukan pengubahan paramater kernel harus memasukkan password dengan benar sebelum ia dapat melakukan sesuatu. Untuk mengaktifkan fitur ini, Anda hanya perlu sedikit melakukan perubahan pada konfigurasi GRUB di /boot/grub/menu.lst.

Hal pertama yang perlu dilakukan adalah membuat sebuah password terenkripsi yang akan digunakan untuk melindungi GRUB. Dari terminal cukup jalankan perintah berikut, lalu masukkan password yang Anda ingin gunakan

$ sudo grub-md5-crypt Password: Retype password: $1$qRuxP$A5op5yVtvQtYnMpgJd7Eo0

Berikutnya Anda harus melakukan pengubahan terhadap berkas konfigurasi /boot/grub/menu.lst, gunakan sembarang editor untuk melakukan hal ini, jangan lupa untuk melakukan backup terlebih dahulu

$ cd /boot/grub $ sudo cp menu.lst menu.lst.bak $ sudo nano menu.lst

Cari bagian berikut ini

## password ['--md5'] passwd # If used in the first section of a menu file, disable all interactive editing # control (menu entry editor and command-line) and entries protected by the # command 'lock' # e.g. password topsecret # password --md5 $1$gLhU0/$aW78kHK1QfV3P2b2znUoe/ # password topsecret

dan tambahkan baris untuk password terenkripsi di bawahnya, sehingga menjadi

## password ['--md5'] passwd # If used in the first section of a menu file, disable all interactive editing # control (menu entry editor and command-line) and entries protected by the # command 'lock' # e.g. password topsecret # password --md5 $1$gLhU0/$aW78kHK1QfV3P2b2znUoe/ # password topsecret password --md5 $1$qRuxP$A5op5yVtvQtYnMpgJd7Eo0

Langkah terakhir adalah menambahkan lock di antara baris title dan root pada pilihan recovery mode, hasilnya lebih kurang serperti ini

title Ubuntu 7.10, kernel 2.6.22-14-generic (recovery mode) lock root (hd0,0) kernel /boot/vmlinuz-2.6.22-14-generic root=UUID=10d6b11d-fa5c-4428-a630-5a6130a5fe11 ro single rootflags=data=writeback initrd /boot/initrd.img-2.6.22-14-generic

Simpan konfigurasi Anda (pada nano tekan F3, Enter, dan F2 untuk keluar).

Selesai sudah, kini menu GRUB Anda sudah lebih aman dengan perlindungan password terenkripsi. Namun jangan pernah lupa bahwa tidak ada sistem yang benar-benar aman, Anda masih perlu memperhatikan aspek-aspek lain, contohnya saja BIOS. Jika seseorang bisa masuk ke BIOS, dia bisa saja mengubah urutan booting ke CD-ROM dan menguasai sistem Anda dari sana. Akhir kata selamat mengamankan sistem Anda.