Meu sistema possui criptografia completa de disco, exceto /boot. Eu defini uma senha do GRUB seguindo esta postagem , mas consegui desativá-la inicializando no Kali Live e executando:
mkdir /mnt/dev/sda2
sudo mount /dev/sda2 /mnt/dev/sda2
sudo vim /mnt/dev/sda2/grub/grub.cfg
3 comandos. Mole-mole.
Um usuário só verá o menu GRUB ou será solicitado a inserir uma senha do GRUB se tiver acesso físico à máquina (certo?). Se tiverem acesso físico, poderão desabilitar o GRUB. Se um usuário não tiver acesso ao GRUB (ou seja, ele se conecta via ssh ou esta é uma VM (porque o ssh só inicia após o GRUB terminar, certo?)), então ele nunca será interrompido por ele.
Portanto, parece que na única situação em que uma senha do GRUB é usada, ela também é facilmente ignorada. Se uma senha do GRUB impedir alguém, ele poderá desativá-la.
Então, qual é o objetivo? As senhas do GRUB são tão inúteis quanto eu penso? Eles aumentam a segurança de alguma outra forma? E se incluirmos a criptografia /boot na mistura? Isso melhora as coisas?
Obrigado!
Por essa lógica, por que usar senhas? Afinal, pode-se simplesmente mover o disco de um computador para outro e acessar qualquer coisa como root. As senhas de usuário ou bootloader em geral não são projetadas para impedir o acesso aos dados; a criptografia foi projetada para fazer isso.
As senhas do GRUB não servem para restringir o acesso ou modificação de dados de uma máquina inicializada. Em vez disso, são úteis como parte de um sistema mais amplo de bloqueio de um computador. Por exemplo, você pode configurar senhas BIOS/UEFI para evitar a inicialização de dispositivos não autorizados e restringir o acesso físico à máquina. As senhas GRUB adicionam uma camada extra de proteção, evitando que usuários não autorizados modifiquem os parâmetros de inicialização ou selecionem diferentes entradas de inicialização. Eles não foram projetados para atuar como um método atacadista de proteção de uma máquina.
Em um cenário real e bloqueado, você não apenas teria uma senha do GRUB, mas também teria restrições para (por exemplo) inicializar dispositivos não confiáveis ou não atestados. Nesses cenários, as senhas do bootloader podem apresentar um benefício real.