[THJC]

Jika Anda seorang sysadmin Linux, anda tentunya tidak ingin orang lain dapat mengakses serta mengubah apa pun dari server yang anda miliki kan tentunya?

Memberikan password proteksi pada GRUB merupakan cara yang tepat untuk memproteksi tahap awal server anda

Hal ini sangat dianjurkan untuk mengatur password GRUB pada setiap sistem produksi penting seperti yang dijelaskan dalam artikel ini.


1. Gunakan perintah grub password di grub.conf

Pada sistem di mana GRUB tidak diamankan dengan password, pesan berikut akan ditampilkan tepat di bawah menu GRUB selama sistem startup.

Seperti yang Anda lihat dari pesan ini, siapa saja yang ada di depan konsol reboot server, dapat mengedit perintah grub, atau bahkan memodifikasi argumen kernel, yang mungkin akan menimbulkan masalah, jika seseorang yang tidak tahu apa yang mereka lakukan, bermain-main dengan ini pada sistem produksi.

• Use the up-arrow and down-arrow keys to select which entry is highlighted.
  
• Press enter to boot the selected OS,
  
• 'e' to edit the commands before booting,
  
• 'a' to modify the kernel arguments before booting, or
  
• 'c' for a command-line
  

/boot/grub/grub.conf berisikan informasi mengenai entri yang ditampilkan pada menu GRUB saat sistem melakukan booting.

Pada beberapa sistem, /etc/grub.conf adalah symbolic link atau symlink ke /boot/grub/grub.conf

Tambahkan “password” pada baris berikut di file grub.conf

Code:

$ cat /etc/grub.conf
default=0
timeout=15
password GrbPwd4SysAd$
..

Setelah perintah “password” ditambahkan pada file grub.conf, pesan berikut akan ditampilkan tepat di bawah menu GRUB selama sistem startup.

Seperti yang anda lihat dari pesan ini, tanpa memasukkan password GRUB yang anda telah masukkan pada grub.conf, maka tak seorang pun dapat mengedit perintah grub, atau memodifikasi argumen kernel.
Yang bisa mereka lakukan hanya memilih salah satu entri ditampilkan dan booting dari sini.

Use the up-arrow and down-arrow keys to select which entry is highlighted.
Press enter to boot the selected OS or
'p' to enter a password to unlock the next set of features.

2. Encrypt grub password dengan grub-crypt

Saat membaca entri di atas, mungkin anda akan berpikir :
Ya, grub ini dijamin dengan password. Namun, password itu sendiri adalah dalam bentuk plain teks, dan dapat dibaca oleh siapapun ketika mesin yang saya tinggalkan dilihat oleh orang lain. Dan mereka dapat mengecek pada file grub.conf

Maka dari itu, silakan anda menggunakan grub-crypt untuk melakukan enkripsi pada password grub.

grub-crypt akan mendapatkan password teks yang jelas dari pengguna, dan menampilkan password terenkripsi seperti yang ditunjukkan di bawah ini.

Code:

# grub-crypt
Password: GrbPwd4SysAd$
Retype password: GrbPwd4SysAd$
^9^32kwzzX./3WISQ0C

Modifikasi pada file grub.conf, lalu tambahkan “password” entri dengan argumen -encrypted seperti yang ditunjukkan di bawah ini. Hanya menyalin output dari perintah grub-crypt, dan paste setelah “-encrypted” argumen dalam entri password.

Code:

$ cat /etc/grub.conf
default=0
timeout=15
password --encrypted ^9^32kwzzX./3WISQ0C
..

Secara default, perintah grub-crypt akan melakukan peng-engenkripsi-an password menggunakan algoritma SHA-512.
Anda juga dapat mengenkripsi password baik menggunakan SHA-256 atau alrogithms MD5 seperti yang ditunjukkan di bawah ini.

Code:

# grub-crypt --sha-256
# grub-crypt --md5

Anda juga dapat menggunakan md5crypt untuk mengenkripsi password.
Dalam hal ini, Anda harus menggunakan “password-md5 encrypted-password” di file grub.conf.

Di dalam bagian script file grub.conf, jika Anda menetapkan “lock”, grub akan mengeksekusi sisa perintah dalam bagian entri menu hanya jika pengguna adalah otentik.
3. Memuat file yang berbeda untuk Menu Grub

Secara default, entri dalam menu GRUB saat startup sistem yang mengambil-up dari file grub.conf. yaitu didasarkan pada baris yang dimulai dengan masuknya “title” dari file grub.conf.

Jika anda menguji beberapa variasi dari kernel baru, anda mungkin ingin membuat menu file grub terpisah yang berisi entri menu tersendiri.

Selama sistem startup, secara default akan hanya menampilkan entri dari grub.conf.
Namun ketika Anda memasukkan password, anda dapat menginstruksikan grub untuk memuat entri menu modifikasi anda.

Hal ini kita dapatkan dengan melewati nama file menu kustom untuk perintah password seperti yang ditunjukkan di bawah ini dalam file grub.conf.

Dalam contoh berikut, akan memuat dan menampilkan entri menu grub dari mymenu.lst /etc/ ketika anda memberikan password saat startup sistem.

Code:

$ cat /etc/grub.conf
default=0
timeout=15
password --encrypted ^9^32kwzzX./3WISQ0C /etc/mymenu.lst

Terjemah bebas: elmoony’s blog
Sumber: TGS

[Junior Riau]

nice tutor om mimin, mantap mantap, +1 yah

[noe404]

siiiiiiiiip,, jajal dulu

[devilnoe]

mantep om, ane coba berhasil

[Al - Ayyubi]

Bissmilah ikutan nyoba om Ts
thnk's om tutornya , soalnya penting nih buat aku
biar yang mau laptopku ga bisa wkwkwk . . .

[THJC]

Dengan cara begini, penyusup harus melewati ini dulu
Untuk server, cocok banget nih

[alpoah$]

nice tutor bang ane mau jajal dulu

[kakus130908$]

wuih mantab nih om, + MD5 juga

[iKONspirasi]

woooh mantab bro

btw mengenai grub-crypt baru tahu ane, nice info
tapi dari kalimat ini:

Secara default, perintah grub-crypt akan melakukan peng-engenkripsi-an password menggunakan algoritma SHA-512.
Anda juga dapat mengenkripsi password baik menggunakan SHA-256 atau alrogithms MD5 seperti yang ditunjukkan di bawah ini.

dapat disimpulkan lebih baik kita menggunakan grub-crypt yg default karena menggunakan hash algoritma SHA-512 yang jauh lebih kuat daripada SHA-256, SHA1 apalagi dari MD5 yang udh uzur

Sedikit informasi mengenai Hash, semakin kuat hash maka semakin jauh collision course-nya atau dalam bahasa kerennya makin susah ada nilai hash yang sama walaupun dengan data yang sama.

MD5 dan SHA1 telah ditemukan cara untuk mendapatkan collision coursenya, makanya banyak kan MD5 atau SHA1 decryptor?
padahal hash itu seharusnya walaupun dengan data/karakter yang sama seharusnya susah ditemukan hasil hash yang sama pula.

eh kok jd panjang ya?

jadi pengen bahas enkripsi nih hehehe
CMIIW ya, jd kalau ada yg bingung atau ga setuju bisa langsung diskusi disini saja

[alkaaf]

woooh mantab bro

btw mengenai grub-crypt baru tahu ane, nice info
tapi dari kalimat ini:

Secara default, perintah grub-crypt akan melakukan peng-engenkripsi-an password menggunakan algoritma SHA-512.
Anda juga dapat mengenkripsi password baik menggunakan SHA-256 atau alrogithms MD5 seperti yang ditunjukkan di bawah ini.

dapat disimpulkan lebih baik kita menggunakan grub-crypt yg default karena menggunakan hash algoritma SHA-512 yang jauh lebih kuat daripada SHA-256, SHA1 apalagi dari MD5 yang udh uzur

Sedikit informasi mengenai Hash, semakin kuat hash maka semakin jauh collision course-nya atau dalam bahasa kerennya makin susah ada nilai hash yang sama walaupun dengan data yang sama.

MD5 dan SHA1 telah ditemukan cara untuk mendapatkan collision coursenya, makanya banyak kan MD5 atau SHA1 decryptor?
padahal hash itu seharusnya walaupun dengan data/karakter yang sama seharusnya susah ditemukan hasil hash yang sama pula.

eh kok jd panjang ya?

jadi pengen bahas enkripsi nih hehehe
CMIIW ya, jd kalau ada yg bingung atau ga setuju bisa langsung diskusi disini saja

Hehe. Mkanya skrg aku sering multiple hashing kalo di php

sha1(sha1(sha1(md5(md5('pass+salt'))))) hehe alhamdulillah smpe skrg ngga mempan di bruteforce.

---

oh ya bro, ntu kayanya beda grub deh. Kan BT skrg pake grub2?