Linuxtopia - CentOS Enterprise Linux - Guide de securite - S�curit� du BIOS et du chargeur de d�marrage

Red Hat Enterprise Linux 4: Guide de s�curit�
Pr�c�dent	Chapitre 4. S�curit� du poste de travail	Suivant

4.2. S�curit� du BIOS et du chargeur de d�marrage

La protection de mots de passe associ�s au BIOS (ou un �quivalent du BIOS) et au chargeur de d�marrage peut emp�cher que des utilisateurs non-autoris�s ayant un acc�s physique � vos syst�mes ne les d�marrent � partir d'un m�dia amovible ou ne s'octroient un acc�s super-utilisateur par le biais du mode mono-utilisateur. Ceci �tant, les mesures de s�curit� � prendre afin de se prot�ger contre de telles agressions d�pendent aussi bien de la confidentialit� des informations contenues dans le poste de travail que de l'emplacement de l'ordinateur.

Par exemple, si un ordinateur est utilis� lors d'un salon et ne contient aucune information confidentielle, il n'est peut �tre pas n�cessaire de se prot�ger contre de telles agressions. En revanche, si l'ordinateur portable d'un employ� disposant de cl�s SSH priv�es non-crypt�es pour acc�der au r�seau de l'entreprise est laiss� sans surveillance lors de ce m�me salon, une s�rieuse br�che de s�curit� peut alors �tre ouverte avec des cons�quences potentiellement tr�s dangereuses pour toute la soci�t�.

D'autre part, si un poste de travail se trouve dans un endroit auquel seules des personnes autoris�es ou dignes de confiance ont acc�s, alors la s�curisation du BIOS ou du chargeur de d�marrage ne sera peut-�tre pas du tout n�cessaire.

4.2.1. Mots de passe du BIOS

Ci-dessous figurent les deux raisons essentielles pour lesquelles des mots de passe sont utiles pour prot�ger le BIOS d'un ordinateur[1]�:

Emp�cher toute modification des param�tres du BIOS — Si un intrus a acc�s au BIOS, il peut le configurer de mani�re � d�marrer � partir d'une disquette ou d'un CD-ROM. De la sorte, il peut entrer dans un mode de secours ou un mode mono-utilisateur, lui permettant alors de lancer des processus arbitraires sur le syst�me ou de copier des donn�es confidentielles.
Emp�cher le d�marrage du syst�me — Certains BIOS permettent de prot�ger le processus de d�marrage � l'aide d'un mot de passe. Lorsque cette fonctionnalit� est activ�e, tout agresseur est oblig� de saisir un mot de passe avant que le BIOS ne puisse lancer le chargeur de d�marrage.

Les m�thodes utilis�es pour �tablir un mot de passe pour le BIOS varient selon les fabricants d'ordinateurs. Il est conseill� de consulter le manuel de votre ordinateur pour obtenir les instructions appropri�es.

Dans le cas o� vous oublieriez le mot de passe du BIOS, il est possible de le r�initialiser soit en utilisant des cavaliers sur la carte m�re, soit en d�branchant la pile CMOS. Pour cette raison, il est toujours recommand� de verrouiller la sacoche de l'ordinateur, dans la mesure du possible. Consultez n�anmoins le manuel de votre ordinateur ou de la carte m�re avant de mettre en oeuvre cette proc�dure.

4.2.1.1. S�curisation des plates-formes diff�rentes de x86

D'autres architectures utilisent diff�rents programmes pour effectuer des t�ches de bas niveau, �quivalents � ceux du BIOS sur les syst�mes x86. Par exemple, les ordinateurs Itanium™ Intel® utilisent le shell EFI (Extensible Firmware Interface).

Pour davantage d'instructions sur la protection par mots de passe de ces programmes sur d'autres architectures, reportez-vous aux instructions du fabricant.

4.2.2. Mots de passe du chargeur de d�marrage

Ci-dessous figurent les raisons essentielles pour lesquelles il est important d'utiliser des mots de passe pour prot�ger un chargeur de d�marrage Linux�:

Emp�cher l'acc�s au mode mono-utilisateur — Si un agresseur peut d�marrer en mode mono-utilisateur, il sera automatiquement connect� en tant que super-utilisateur sans avoir � saisir de mot de passe root.
Emp�cher l'acc�s � la console GRUB — Si l'ordinateur utilise GRUB comme chargeur de d�marrage, un agresseur peut utiliser l'interface de l'�diteur de GRUB afin de changer sa configuration et de recueillir des informations � l'aide de la commande cat.
Emp�cher l'acc�s � des syst�mes d'exploitation non-s�curis�s — Dans le cas d'un syst�me � double d�marrage, un agresseur peut, au moment du d�marrage, choisir un syst�me d'exploitation tel que DOS qui ne prend en compte ni les contr�les d'acc�s, ni les permissions de fichiers.

Le chargeur de d�marrage GRUB est vendu avec Red Hat Enterprise Linux sur les plates-formes x86. Pour obtenir un aper�u d�taill� de GRUB, reportez-vous au chapitre intitul� Le chargeur de d�marrage GRUB du Guide de r�f�rence de Red Hat Enterprise Linux.

4.2.2.1. Protection de GRUB � l'aide d'un mot de passe

Il est possible de configurer GRUB de telle sorte qu'il r�solve les deux probl�mes cit�s dans la Section 4.2.2 en ajoutant une directive de mot de passe dans son fichier de configuration. Pour ce faire, d�finissez d'abord un mot de passe, puis ouvrez une invite du shell, connectez-vous en tant que super-utilisateur et saisissez�:

/sbin/grub-md5-crypt

� l'invite, ins�rez le mot de passe de GRUB et appuyez sur la touche [Entr�e]. Cette op�ration renverra un hachage MD5 du mot de passe.

Ensuite, �ditez le fichier de configuration de GRUB, � savoir /boot/grub/grub.conf. Ouvrez le fichier et en dessous de la ligne timeout figurant dans la partie principale du document, ajoutez la ligne suivante�:

password --md5 <password-hash>

Remplacez <password-hash> par la valeur donn�e par /sbin/grub-md5-crypt[2].

Lors du prochain d�marrage du syst�me, le menu de GRUB ne vous permettra pas d'acc�der � l'�diteur ou � l'interface de commande sans appuyer auparavant sur la touche [p] suivi du mot de passe de GRUB.

Malheureusement, cette solution n'emp�che pas un agresseur de d�marrer un syst�me d'exploitation non-s�curis� dans l'environnement d'un syst�me � double d�marrage. Afin d'�viter cette situation, il est n�cessaire d'�diter une partie diff�rente du fichier de configuration /boot/grub/grub.conf.

Trouvez la ligne title du syst�me d'exploitation non-s�curis� et ajoutez directement en dessous, une ligne sp�cifiant lock.

Pour un syst�me DOS, le stanza devrait commencer par des �l�ments similaires � ceux figurant ci-dessous�:

title DOS
lock

	Avertissement
	Pour que cette m�thode fonctionne correctement, il est n�cessaire d'avoir une ligne `password` dans la section principale du fichier `/boot/grub/grub.conf`. Dans le cas contraire, un agresseur sera � m�me d'acc�der � l'interface de l'�diteur de GRUB et pourra supprimer la ligne lock.

Pour cr�er un mot de passe diff�rent pour un noyau particulier ou un syst�me d'exploitation sp�cifique, ajoutez une ligne lock au stanza, suivie d'une ligne mot de passe.

Chaque stanza que vous prot�gez � l'aide d'un mot de passe unique devrait commencer par des lignes semblables � l'exemple suivant�:

title DOS
lock
password --md5 <password-hash>

Notes

[1]	Puisque les BIOS syst�mes diff�rent selon les fabricants, il se peut que certains ne prennent pas en charge la protection de mots de passe, quel que soit leur type, alors que d'autres prendront en charge un certain type et pas un autre.
[2]	Bien que GRUB accepte �galement les mots de passe en texte clair, il est recommand� d'utiliser un hachage md5 pour une meilleure s�curit�.

Pr�c�dent	Sommaire	Suivant
S�curit� du poste de travail	Niveau sup�rieur	S�curit� des mots de passe