C'est le 1er programme qui s'exécute au démarrage du système. Il permet le contrôle des éléments matériels.

• Protéger l'accès au BIOS/UEFI par un mot de passe

• Modifier l'ordre de boot pour démarrer en priorité sur le disque système

• Désactiver les éléments matériels non utilisés (CD-ROM, USB…)

Attention ! Ne pas éditer le fichier de configuration du grub /boot/grub/grub.conf !
Ce fichier est généré par la commande grub-mkconfig par rapport aux différents fichiers qui composent le Grub.

• Création d’un mot de passe chiffré en SHA1 :

$ grub-mkpasswd-pbkdf2

• Edition du fichier /etc/grub.d/00_header :

$ sudo vi /etc/grub.d/00_header

• Ajouter à la fin du fichier :

cat << EOF
set superusers="fred"
password_pbkdf2 fred grub.pbkdf2.sha512.10000.DABE<*******> 
  ##<********> est le mot de passe créé précédemment avec la commande grub-mkpasswd-pbkdf2
EOF

• Mise à jour de GRUB pour la prise en compte :

$ sudo update-grub

Modification du paramétrage GRUB, en ajoutant le paramètre nousb dans :

• /boot/grub/grub.cfg

L'activation de ce service permet de protéger la memoire du système vis-à-vis d'accès parbitraires réalisés par des périphériques.

La directive iommu=force doit être ajoutée à la liste des paramètres du noyau choisi lors du démarrage GRUB, en plus de celles déjà présentes dans les fichiers de configurations GRUB :

• /boot/grub/menu.lst
• /etc/default/grub

...
GRUB_CMDLINE_LINUX="iommu=force"

Booter en mode single user sous Linux permet d'être connecté directement en root sans taper de mot de passe. Il faut l'interdire !

su :S :wait :/sbin/sulogin

On définit une variable d'environnement TMOUT, qui permet de déconnecter les users automatiquement après une période d'inactivité.
On applique, de plus, la restriction “readonly” afin que cette variable ne puisse pas être modifiée.

if ["EUID" = "0"]||["USER" = "root"] ; then
TMOUT=900
else
TMOUT=3600
fi
readonly TMOUT
export TMOUT

vlock -c