fix, güvenlik, Linux

RHEL/CentOS 7 Üzerinde Önyükleyiciye Parola Yapılandırması

1. Genel Bakış

 

Bir Linux önyükleyici bölümüne parola ayarlamanın üç kritik güvenlik nedeni vardır. İlk olarak, Tek Kullanıcı Moduna erişimi engellemektir. Saldırganlar sistemi tek kullanıcı modunda açabilirlerse, root parolası sorulmadan otomatik olarak root olarak giriş yaparlar. İkincisi, GRUB Konsoluna erişimi engellemektir. Makine önyükleyici olarak GRUB kullanıyorsa, saldırgan yapılandırmayı değiştirmek veya cat komutunu kullanarak bilgi toplamak için GRUB editör arayüzünü kullanabilir. Üçüncüsü, Güvenli Olmayan İşletim Sistemlerine erişimi engellemektir. Eğer çift önyükleme olan bir sistem varsa, saldırgan önyüklemede DOS gibi bir erişim sistemini seçerek erişim denetimlerini ve dosya izinlerini geçebilir.

Bu yazıda, RHEL / CentOS 7 işletim sisteminin grub2 önyükleyicisinin  parola ile nasıl korunacağını anlatacağım.

 

2. Gereksinimler

 

Root erişimi olan kurulu RHEL/CentOS 7 işletim sistemi işimizi görecektir.

 

3. Şifrelenmiş Parola Oluşturma

 

Düz metin(plaintext) parolaları bir güvenlik riski olduğundan, grub2-mkpasswd-pbkdf2 komutunu çalıştırarak parola için bir karma oluşturmamız gerekir. Komutu çalıştırdıktan sonra parola girmeniz istenecek, Yani burada GRUB2 Bootloader’ı korumak için ayarlamak istediğiniz parolayı gireceksiniz.

 

4. GRUB2 Ana Konfigürasyon Dosyasında Parolayı Yapılandırma

 

Şimdi elimizde GRUB2 önyükleyicisinin ana konfigürasyon dosyası olan grub.cfg dosyasına koyacağımız şifrelenmiş parolamız var.

 

Uyarı !!!: Süper kullanıcı hesabını grub.cfg dosyasına manuel olarak EKMEYİN!

Süper kullanıcı hesabını ve parolayı grub.cfg dosyasına manuel olarak EKLEMEYİN, grub2-mkconfig komutu bu dosyanın üzerine yazar.

 

Bu yüzden şifrelenmiş olan parolamızı /etc/grub.d/. adresindeki GRUB2 özel menüsüne, yani 40_custom dosyasına kopyalamamız gerekiyor.

 

40_custom dosyası üzerinde düzenleme yapmadan önce, bu dosyanın yedeğini almanızı öneririm. Bu aşamadan sonra “systems” adlı superuser’ı kullanacağız.

 

Bootloader superuser hesap şifresinin, root kimlik bilgilerinden farklı olması önerilir.

Grub2 superuser hesabı için root, admin veya manager gibi genel yönetici hesap adlarını kullanmaktan kaçının.Bootloader superuser hesap şifresinin, root kimlik bilgilerinden farklı olması önerilir. Bootloader superuser hesap şifresinin, root kimlik bilgilerinden farklı olması önerilir.

ÖNEMLİ UYARI !!!: grub2 superuser için genel yönetici hesap adlarını KULLANMAYIN!

Grub2 superuser hesabı için root, admin veya manager gibi genel yönetici hesap adlarını kullanmaktan kaçının.
Bootloader superuser hesap şifresinin, root kimlik bilgilerinden farklı olması önerilir.

 

5. grub.cfg Dosyasını Güncelleme

Grub2-mkconfig komutunu kullanarak grub.cfg dosyasını güncellemeden önce, grub.cfg dosyasını yedekleyelim.

 

GRUB2 Bootloader ana yapılandırma dosyasını güncelledikten sonra şifrelenmiş parola grub.cfg dosyasına yazılacaktır. 40_custom dosyasını cat veya less komut kullanarak açabilir ve şifrelenmiş parolayı görebiliriz.

 

6. Test Zamanı

 

Şimdi GRUB önyükleyicinin yukarıda belirlediğimiz parola ile korunup korunmadığını kontrol etmek için sistemi yeniden başlatın.

 

Sistemi yeniden başlattıktan sonra, ara çubuğuna basarak normal önyükleme işlemini durdurun ve aşağıdaki resimde gösterildiği gibi GRUB menüsünü seçin ve ardından GRUB’u düzenlemek için e tuşuna basın.

 

 

Aşağıdaki resimde gösterildiği gibi Kullanıcı Adı ve Parola isteyecektir. Kullanıcı adınızı “systems” ve yukarıda belirttiğimiz parola olarak girin.

Başarılı bir kimlik doğrulama işleminden sonra GRUB2 önyükleyiciyi aşağıdaki resimde gösterildiği gibi düzenleyebileceğiz.

 

 

7. Sonuç

 

Linux RHTL / CentOS 7 önyükleyiciyi koruma amaçlı yapılandırmaları yaptınız. Parola ile korunan bir önyükleyici olması bir güvenlik standartıdır ve henüz yapılmadıysa BT güvenlik denetiminde sıkıntı yaşamanız işten bile değildir. Örneğimiz umarım bilgilendirici olmuştur. Soru veya öneriniz olursa, yorumlarınızı aşağıda yazabilirsiniz.

 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d blogcu bunu beğendi: