Red Hat Enterprise Linux 4: Guide de sécurité
PrécédentChapitre 4. Sécurité du poste de travailSuivant

4.2. Sécurité du BIOS et du chargeur de démarrage

La protection de mots de passe associés au BIOS (ou un équivalent du BIOS) et au chargeur de démarrage peut empêcher que des utilisateurs non-autorisés ayant un accès physique à vos systèmes ne les démarrent à partir d'un média amovible ou ne s'octroient un accès super-utilisateur par le biais du mode mono-utilisateur. Ceci étant, les mesures de sécurité à prendre afin de se protéger contre de telles agressions dépendent aussi bien de la confidentialité des informations contenues dans le poste de travail que de l'emplacement de l'ordinateur.

Par exemple, si un ordinateur est utilisé lors d'un salon et ne contient aucune information confidentielle, il n'est peut être pas nécessaire de se protéger contre de telles agressions. En revanche, si l'ordinateur portable d'un employé disposant de clés SSH privées non-cryptées pour accéder au réseau de l'entreprise est laissé sans surveillance lors de ce même salon, une sérieuse brèche de sécurité peut alors être ouverte avec des conséquences potentiellement très dangereuses pour toute la société.

D'autre part, si un poste de travail se trouve dans un endroit auquel seules des personnes autorisées ou dignes de confiance ont accès, alors la sécurisation du BIOS ou du chargeur de démarrage ne sera peut-être pas du tout nécessaire.

4.2.1. Mots de passe du BIOS

Ci-dessous figurent les deux raisons essentielles pour lesquelles des mots de passe sont utiles pour protéger le BIOS d'un ordinateur[1] :

  1. Empêcher toute modification des paramètres du BIOS — Si un intrus a accès au BIOS, il peut le configurer de manière à démarrer à partir d'une disquette ou d'un CD-ROM. De la sorte, il peut entrer dans un mode de secours ou un mode mono-utilisateur, lui permettant alors de lancer des processus arbitraires sur le système ou de copier des données confidentielles.

  2. Empêcher le démarrage du système — Certains BIOS permettent de protéger le processus de démarrage à l'aide d'un mot de passe. Lorsque cette fonctionnalité est activée, tout agresseur est obligé de saisir un mot de passe avant que le BIOS ne puisse lancer le chargeur de démarrage.

Les méthodes utilisées pour établir un mot de passe pour le BIOS varient selon les fabricants d'ordinateurs. Il est conseillé de consulter le manuel de votre ordinateur pour obtenir les instructions appropriées.

Dans le cas où vous oublieriez le mot de passe du BIOS, il est possible de le réinitialiser soit en utilisant des cavaliers sur la carte mère, soit en débranchant la pile CMOS. Pour cette raison, il est toujours recommandé de verrouiller la sacoche de l'ordinateur, dans la mesure du possible. Consultez néanmoins le manuel de votre ordinateur ou de la carte mère avant de mettre en oeuvre cette procédure.

4.2.1.1. Sécurisation des plates-formes différentes de x86

D'autres architectures utilisent différents programmes pour effectuer des tâches de bas niveau, équivalents à ceux du BIOS sur les systèmes x86. Par exemple, les ordinateurs ItaniumIntel® utilisent le shell EFI (Extensible Firmware Interface).

Pour davantage d'instructions sur la protection par mots de passe de ces programmes sur d'autres architectures, reportez-vous aux instructions du fabricant.

4.2.2. Mots de passe du chargeur de démarrage

Ci-dessous figurent les raisons essentielles pour lesquelles il est important d'utiliser des mots de passe pour protéger un chargeur de démarrage Linux :

  1. Empêcher l'accès au mode mono-utilisateur — Si un agresseur peut démarrer en mode mono-utilisateur, il sera automatiquement connecté en tant que super-utilisateur sans avoir à saisir de mot de passe root.

  2. Empêcher l'accès à la console GRUB — Si l'ordinateur utilise GRUB comme chargeur de démarrage, un agresseur peut utiliser l'interface de l'éditeur de GRUB afin de changer sa configuration et de recueillir des informations à l'aide de la commande cat.

  3. Empêcher l'accès à des systèmes d'exploitation non-sécurisés — Dans le cas d'un système à double démarrage, un agresseur peut, au moment du démarrage, choisir un système d'exploitation tel que DOS qui ne prend en compte ni les contrôles d'accès, ni les permissions de fichiers.

Le chargeur de démarrage GRUB est vendu avec Red Hat Enterprise Linux sur les plates-formes x86. Pour obtenir un aperçu détaillé de GRUB, reportez-vous au chapitre intitulé Le chargeur de démarrage GRUB du Guide de référence de Red Hat Enterprise Linux.

4.2.2.1. Protection de GRUB à l'aide d'un mot de passe

Il est possible de configurer GRUB de telle sorte qu'il résolve les deux problèmes cités dans la Section 4.2.2 en ajoutant une directive de mot de passe dans son fichier de configuration. Pour ce faire, définissez d'abord un mot de passe, puis ouvrez une invite du shell, connectez-vous en tant que super-utilisateur et saisissez : 

/sbin/grub-md5-crypt

À l'invite, insérez le mot de passe de GRUB et appuyez sur la touche [Entrée]. Cette opération renverra un hachage MD5 du mot de passe.

Ensuite, éditez le fichier de configuration de GRUB, à savoir /boot/grub/grub.conf. Ouvrez le fichier et en dessous de la ligne timeout figurant dans la partie principale du document, ajoutez la ligne suivante : 

password --md5 <password-hash>

Remplacez <password-hash> par la valeur donnée par /sbin/grub-md5-crypt[2].

Lors du prochain démarrage du système, le menu de GRUB ne vous permettra pas d'accéder à l'éditeur ou à l'interface de commande sans appuyer auparavant sur la touche [p] suivi du mot de passe de GRUB.

Malheureusement, cette solution n'empêche pas un agresseur de démarrer un système d'exploitation non-sécurisé dans l'environnement d'un système à double démarrage. Afin d'éviter cette situation, il est nécessaire d'éditer une partie différente du fichier de configuration /boot/grub/grub.conf.

Trouvez la ligne title du système d'exploitation non-sécurisé et ajoutez directement en dessous, une ligne spécifiant lock.

Pour un système DOS, le stanza devrait commencer par des éléments similaires à ceux figurant ci-dessous : 

title DOS
lock

AvertissementAvertissement
 

Pour que cette méthode fonctionne correctement, il est nécessaire d'avoir une ligne password dans la section principale du fichier /boot/grub/grub.conf. Dans le cas contraire, un agresseur sera à même d'accéder à l'interface de l'éditeur de GRUB et pourra supprimer la ligne lock.

Pour créer un mot de passe différent pour un noyau particulier ou un système d'exploitation spécifique, ajoutez une ligne lock au stanza, suivie d'une ligne mot de passe.

Chaque stanza que vous protégez à l'aide d'un mot de passe unique devrait commencer par des lignes semblables à l'exemple suivant : 

title DOS
lock
password --md5 <password-hash>

Notes

[1]

Puisque les BIOS systèmes diffèrent selon les fabricants, il se peut que certains ne prennent pas en charge la protection de mots de passe, quel que soit leur type, alors que d'autres prendront en charge un certain type et pas un autre.

[2]

Bien que GRUB accepte également les mots de passe en texte clair, il est recommandé d'utiliser un hachage md5 pour une meilleure sécurité.

PrécédentSommaireSuivant
Sécurité du poste de travailNiveau supérieurSécurité des mots de passe