Qualquer um pode facilmente obter uma linha de comando de root e alterar sua senha entrando
com o parâmetro <name-of-your-bootimage> init=/bin/sh no aviso de boot.
Após alterar a senha e reiniciar o sistema, a pessoa terá acesso ilimitado como usuário root e
poderá fazer qualquer coisa que quiser no sistema. Após este processo, você não terá acesso
root ao seu sistema, já que não saberá mais sua senha.
Para se assegurar que isto não ocorra, você deverá definir uma senha para o gerenciador de
partida. Escolha entre uma senha global ou uma senha para determinada imagem.
Para o LILO, você precisará editar o arquivo de configuração /etc/lilo.conf e adicionar
uma linha password e restricted como no exemplo abaixo.
image=/boot/2.2.14-vmlinuz
label=Linux
read-only
password=mude-me
restricted
Quando terminar, re-execute o lilo. Caso omita restricted o lilo sempre perguntará por
uma senha, não importando se foram passados parâmetros de inicialização. As permissões
padrões do /etc/lilo.conf garantem permissões de leitura e gravação para o root e permite
o acesso somente leitura para o grupo do lilo.conf, geralmente root.
Caso utilize o GRUB ao invés do LILO, edite o /boot/grub/menu.lst e adicione as seguintes
duas linhas no topo do arquivo (substituindo, é claro mude-me pela senha designada). Isto
evita que usuários editem os itens de inicialização. A opção timeout 3 especifica uma espera
de 3 segundos antes do grub inicializar usando o item padrão.
timeout 3
password mude-me
Para fortalecer futuramente a integridade da senha, você poderá armazenar a senha em um
formato criptografado. O utilitário grub-md5-crypt gera um hash de senha que é compatível
com o algoritmo de senha encriptada pelo grub (md5). Para especificar no grub que uma
senha no formato md5 será usada, use a seguinte diretiva:
timeout 3
password --md5 $1$bw0ez$tljnxxKLfMzmnDVaQWgjP0
O parâmetro –md5 foi adicionado para instruir o grub a fazer o processo de autenticação md5.
A senha fornecida é uma versão encriptada md5 do mude-me. O uso do método de senhas
md5 é preferido em contrapartida da seleção de sua versão texto plano. Mais informações
sobre senhas do grub podem ser encontradas no pacote grub-doc.