Seguridad de consola

Cualquier barrera de seguridad que pusiste para proteger el servidor es bastante díficil de defender contra el daño incalculable causado por alguien con acceso físico a su entorno, por ejemplo, el robo de unidades de disco duro, poder interrumpir el servicio y así sucesivamente. Por lo tanto la consola debe ser un componente de la estrategia global de tu seguridad física. Un bloqueo de pantalla puede disuadir a un delincuente ocasional.

Desconectar Ctrl+Alt+Del

Cualquiera con acceso físico al teclado puede teclear Ctrl+Alt+Del y reiniciar el servidor sin identificarse.
Para discapacitar esta acción en /etc/event.d/control-alt-delete comentamos:

#exec /sbin/shutdown -r now "Control-Alt-Delete pressed"

Contraseña para GRUB

El modo de recuperación de GRUB simplemente inicia la imagen del kernel correspondiente en modo superusuario sin necesidad de contraseña.
Por lo tanto, es importante controlar quien puede editar el menu grub, y evitar las siguientes acciones peligrosas:
  • Opciones del kernel al arrancar
  • Arrancar el servidor en modo superusuario
Puedes prevenir estas acciones añadiendo una contraseña al archivo de configuración de GRUB /boot/grub/menu.lst, la cual será requerida para desbloquear los ajustes más avanzados de GRUB.
Para añadir una contraseña a GRUB primero debes generar una md5 hash usando la siguiente utilidad:

grub-md5-crypt

El comando te dirá que introduzcas la contraseña y te devolvera un valor hash.
Luego, añade el hashcode al archivo /boot/grub/menu.lst con el siguiente formato:

password --md5 hashcode

Para requerir el uso de contraseña entrando como superusuario, cambia el valor de la variable lockalternative en /boot/grub/menu.lst a true, como sigue:

# lockalternative=true

Esto no impide que alguien arranque el servidor desde medios alternativos. Un atacante podría sobreescribir el MBR, montar o copiar volumenes físicos o destruir datos. Explora contramedidas contra esto.