Protection de GRUB par mot de passe

Nous allons utiliser l'utilisateur root pour protéger grub. L'utilisation de root n'est pas obligatoire, mais l'utilisateur doit forcément faire partie des sudoers (groupe sudo).

Tout le tutoriel est fait en étant root, si ce n'est pas votre cas utilisez le mot clé "sudo" en cas de manque de droit

Exécuter cette commande qui permettra de rajouter notre utilisateur dans le fichier de config

echo 'set superusers="root"' >> /etc/grub.d/40_custom

Ensuite nous allons créer notre mot de passe avec cette commande.

grub-mkpasswd-pbkdf2

Copier le mot de passe générer en entier, exmple  :  

grub.pbkdf2.sha512.10000.C77CE445861F04EE33346E09B480A8F55732068F05E3A3695B1C5ED4D2111A95CA7597FF6FC66B91020AF82D73FEA8F7075BCB0E7A81275CA54F59B71B41A075.71DBB5FB9F8EFAC1A460B9DE6D42F2D596F0A7619C0C09D34733F0661B3671133C068C2998301BECC091F9C40D6DE8E15F6CF3C28452480D35757E5C1E100828

Éditez ensuite le fichier /etc/grub.d/40_custom

Rajouter à la ligne "password_pbkdf2 root" suivi du mot de passe, votre fichier devra ressembler à ça :

Ajustez si nécessaire si vous n'avez pas utiliser l'utilisateur root.

Faites ensuite la commande suivante pour attribuer tout les droit à l'utilisateur :

chmod 711 /etc/grub.d/40_custom

À l'aide de ces deux commandes enregistrez ensuite vos configurations avec cette commande : 

grub-mkconfig -o /boot/grub/grub.cfg

update-grub

Redémarrez votre machine, et vous devrez vous identifier avec votre utilisateur et le mot de passe pour démarrer le système.   

Pour désactiver le mot de passe, éditez le ficher /etc/grub.d/10_linux à la ligne 34 et rajouter l'instruction "--unrestricted" :

nano +34 /etc/grub.d/10_linux

(la ligne pourra différencier selon les MAJ futurs, rechercher la manuellement le cas échéant, voir exemple de la ligne ci-dessous)

La ligne devra ressembler à ça : 

Enregistrez avec la commande : "update-grub" et le mot de passe sera désactivé.