N'importe qui peut obtenir facilement un shell root et changer vos mots de passe en entrant au prompt de boot <nom-de-votre-image-de-boot> init=/bin/sh. Après le changement du mot de passe et le redémarrage du système, la personne a un accès root illimité et peut faire tout ce qu'elle veut sur le système. Après ceci, vous n'aurez plus d'accès root sur votre machine, étant donné que vous ne connaîtrez pas le mot de passe.

Pour être sûr que cela ne puisse pas se produire, vous devriez attribuer un mot de passe au démarrage. Vous avez le choix entre un mot de passe global et un mot de passe pour une image donnée.

Pour LILO, vous avez besoin d'éditer le fichier /etc/lilo.conf et ajouter les lignes password ainsi que restricted comme dans l'exemple suivant.

image=/boot/2.2.14-vmlinuz
label=Linux
read-only
password=piratemoi
restricted

Puis, assurez-vous que le fichier de configuration n'est pas lisible par tout le monde pour empêcher des utilisateurs locaux de lire le mot de passe. Une fois terminé, relancez lilo. Omettre la ligne restricted entraîne une attente de mot de passe, en dépit des paramètres passés à LILO. Les permissions par défaut pour le fichier /etc/lilo.conf accordent à root les droits de lecture et d'écriture et permettent un accès en lecture seule pour le groupe de configuration de lilo.conf, à savoir root.

Si vous utilisez GRUB plutôt que LILO, éditez /boot/grub/menu.lst et ajoutez les deux lignes suivantes en début (en remplaçant, bien sûr, piratemoi par le mot de passe désiré). Ceci empêche les utilisateurs d'éditer les options de démarrage. timeout 3 indique un délai de 3 secondes avant que grub démarre l'option par défaut.

timeout 3
password piratemoi

Pour aller plus loin dans le durcissement de l'intégrité du mot de passe, vous pourriez entreposer le mot de passe sous une forme cryptée. L'utilitaire grub-md5-crypt génère un hachage de mot de passe qui est compatible avec l'algorithme du mot de passe grub (md5). Pour spécifier à grub qu'un mot de passe sous le format md5 va être utilisé, utilisez la directive suivante :

timeout 3
password --md5 $1$bw0ez$tljnxxKLfMzmnDVaQWgjP0

Le paramètre –md5 a été ajouté pour informer grub d'effectuer la procédure d'authentification md5. Le mot de passe fourni est la version md5 cryptée de piratemoi. L'utilisation de la méthode md5 pour le mot de passe est préférable à la méthode précédente dont le mot de passe est en clair.