El bastionado del arranque en sistemas Debian es crucial para fortalecer la seguridad desde la carga inicial del sistema operativo. Un arranque protegido evita modificaciones no autorizadas y dificulta el acceso a usuarios no permitidos, mejorando así la integridad del sistema. En este trabajo se detallan configuraciones clave de seguridad en el gestor de arranque GRUB, incluyendo la creación de contraseñas de arranque, la ocultación del menú de inicio, y la creación de copias de seguridad de la configuración de arranque. También se exploran opciones adicionales, como el cifrado completo del disco y la autenticación de arranque desde la BIOS/UEFI, para asegurar que los datos del sistema estén protegidos incluso antes de la carga completa del sistema operativo. Estas medidas combinadas refuerzan la seguridad de Debian, protegiendo los datos y evitando accesos y modificaciones no autorizadas.
El primer paso para proteger el arranque de Debian es establecer una contraseña en el gestor de arranque GRUB (Grand Unified Bootloader). Al añadir una contraseña, el sistema impedirá que cualquier usuario no autorizado pueda modificar las opciones de arranque o cargar un sistema operativo alternativo sin permiso.
- Abre una terminal y genera una contraseña cifrada para GRUB ejecutando el comando:
grub-mkpasswd-pbkdf2. Ingresa una contraseña segura y copia el hash generado.
- Abre el archivo de configuración de GRUB con el comando
nano /etc/grub.d/40_custom: - Añade las siguientes lineas en la parte inferior del archivo:
set superusers="nombre_usuario" password_pbkdf2 nombre_usuario hash_generado
- Guarda los cambios y actualiza GRUB con
update-grub.
Para añadir otra capa de seguridad, es posible ocultar el menú de arranque de GRUB, de modo que el sistema arranque automáticamente en el sistema operativo preconfigurado sin mostrar opciones a usuarios no autorizados. Esto previene intentos de acceder al sistema a través de otras opciones de arranque o de modificar el sistema sin permiso.
- Abre el archivo de configuración de GRUB con el comando
nano /etc/default/grub. - Modifica o añade las siguientes líneas:
GRUB_TIMEOUT=0 GRUB_HIDDEN_TIMEOUT=0
- Guarda los cambios y actualiza GRUB nuevamente con
update-grub.CTRL + X > S
La configuración de GRUB es crítica, y cualquier error podría impedir que el sistema arranque correctamente. Por lo tanto, es esencial hacer una copia de seguridad de los archivos de configuración de arranque antes de realizar cambios importantes.
- Para crear una copia de seguridad de la configuración actual, usa el siguiente comando:
cp /boot/grub/grub.cfg /ruta_donde_almacenar_las_copias
- Asegúrate de almacenar la copia en un lugar seguro.Es importante almacenar la copia de seguridad de la configuración de GRUB en un lugar seguro, como un dispositivo de almacenamiento externo (USB, disco duro) o una ubicación remota cifrada, para que esté disponible en caso de fallos en el arranque. Esto permite restaurar la configuración y recuperar el sistema de manera rápida y segura si se presentan problemas.
Proceso para Habilitar el Cifrado en una Nueva Instalación de Debian:
- Al instalar Debian, elige la opción Guiado: Usar todo el disco y configurar el cifrado LVM.
- Define una clave de cifrado segura cuando el asistente lo solicite. El sistema te pedirá esta clave en cada inicio.
Proceso para Habilitar el Cifrado en un Sistema Debian Existente:
- Si ya tienes Debian instalado, selecciona la partición que deseas cifrar (por ejemplo,
/dev/sda3). - En la terminal, usa
cryptsetuppara habilitar el cifrado en esa partición:
(Confirma con "YES" y define una contraseña segura).cryptsetup luksFormat /dev/sda5 - Abre la partición cifrada y asígnale un nombre (por ejemplo,
mydata):cryptsetup open /dev/sda3 mydata - Finalmente, crea un sistema de archivos en la partición:
mkfs.ext4 /dev/mapper/mydata - Para montar esta partición automáticamente al inicio, añade la configuración correspondiente en
/etc/fstab.