Guia de bastionamiento de arranque de Debian 13

Lo primero que vamos a hacer es ocultar el menú de arranque, para evitar que atacantes o usuarios sin conocimientos que modificen parámetros de arranques, reduciendo la posibilidad de que puedan acceder a funciones adicionales, como el arranque como root. Para ello, introducimos en la terminal:

sudo nano /etc/default/grub

Modificamos y/o añadimos las líneas siguientes:

GRUB_TIMEOUT_STYLE=hidden
GRUB_TIMEOUT=0

Guardamos los cambios con (Ctrl + O y Enter) y salimos de nano (Ctrl + X).

Actualizamos la configuración de GRUB:

sudo update-grub

Lo que hace estos parámetros es que se oculte el GRUB al arrancar el ordenador y no se muestre, lo que solamente lo hace accesible a través de la tecla "Esc"

Configurar la contraseña del GRUB hace que usuarios no autorizados no puedan editar opciones del arranque, acceder a la consola o modificar entradas para obtener acceso root (init=/bin/bash).

Generamos el hash de la contraseña con el siguiente comando:

sudo grub-mkpasswd-pbkdf2

Introducimos la contraseña del GRUB que queremos asignar y copiamos el hash en un lugar seguro.

Ahora, editaremos el script de configuración personalizado con el usuario de Debian y el hash recién creado:

sudo nano /etc/grub.d/40_custom

Añadimos al final (sustituimos usuario y hash):

set superusers="usuario"
password_pbkdf2 usuario hash

Guardamos, cerramos y actualizamos GRUB:

sudo update-grub

Lo que hace estos comandos es que para entrar siquiera al sistema operativo, nos pide la contraseña recién creada, además de también pedirla para cambiar cualquier parámetro del GRUB.

Antes de modificar nada del GRUB, crearemos copias de seguridad. Se realiza en el caso de que hagamos errores al modificar las opciones de arranque y poder recuperar rápidamente la funcionalidad del equipo. Si se comete un error en el GRUB, puede dejar el sistema inutilizable.

Podemos realizar los comandos siguientes para el backup del GRUB:

sudo cp /etc/default/grub ~/grub-backup-default
sudo cp -r /etc/grub.d ~/grub-backup-grub.d

Y Para restaurar:

sudo cp ~/grub-backup-default /etc/default/grub
sudo cp -r ~/grub-backup-grub.d/* /etc/grub.d/
sudo update-grub

Contraseña BIOS/UEFI: Como en el proyecto anterior, podemos introducir la contraseña de administrador y usuario de la BIOS para mayor seguridad ante intento de acceso físico.
Secure Boot: Esta opción hace de que si queremos arrancar algo, deba estar firmado digitalmente para evitar la carga de software desconocido o malicioso por parte del atacante.
Cifrado completo de disco: Durante la instalación de Debian, podemos elegir cifrar el disco duro con LVM, además de poder hacerlo con las propias particiones separadas (/home,/var...)