Gentoo Logo

[ << ] [ < ] [ Hauptseite ] [ > ] [ >> ]


2. Die Sicherheit straffen

Inhalt:

2.a. USE Flags

Die make.conf-Datei enthält die benutzerdefinierten USE Flags und /etc/make.profile/make.defaults die Standard USE Flags für Gentoo Linux. Die wichtigen Flags für diesen Leitfaden sind pam (Pluggable Authentication Module), tcpd (TCP Wrapper) und ssl (Secure Socket Layer). Diese sind alle in den Standard USE Flags enthalten.

2.b. GRUB Passwortschutz

Grub unterstützt zwei verschiedene Wege zur Passwortkontrolle: Zum einen normalen Text und zum anderen md5+salt-Verschlüsselung.

Befehlsauflistung 2.1: /boot/grub/grub.conf

timeout 5
password änderemich

Dies wird das Passwort änderemich hinzufügen; wenn kein Passwort eingegeben ist, wird die Standard-Boot-Einstellung verwendet.

Sollte ein md5-Passwort genommen werden, dann müssen Sie das Passwort ins Crypt-Format konvertieren, welches auch in /etc/shadow verwendet wird, für weitere Informationen siehe man crypt. Zum Beispiel könnte das verschlüsselte Passwort änderemich so aussehen: $1$Jd74x0$1s/sTlc8gJqqq.IOgsY3I.

Sie können das Passwort direkt in der GRUB Shell konvertieren:

Befehlsauflistung 2.2: md5crypt in der GRUB Shell

#/sbin/grub

    GRUB  version 0.92  (640K lower / 3072K upper memory)

   [ Minimal BASH-like line editing is supported.  For the first word, TAB
     lists possible command completions.  Anywhere else TAB lists the possible
     completions of a device/filename. ]

grub> md5crypt

Password: ********
Typed changeme
Encrypted: $1$Jd74x0$1s/sTlc8gJqqq.IOgsY3I.

grub> quit

Dann kopieren Sie das Passwort und fügen es in /boot/grub/grub.conf ein.

Befehlsauflistung 2.3: /boot/grub/grub.conf

timeout 5
password --md5 $1$Jd74x0$1s/sTlc8gJqqq.IOgsY3I.

Der Zeitablauf von 5 Sekunden wird sinnvoll, wenn das System fernbedient wird und bei einem Neustart ohne Tastatureingaben auskommen muss. Mehr Informationen über Grub-Passwörter können Sie bekommen, wenn Sie info grub ausführen.

2.c. LILO Passwortschutz

LILO unterstützt auch zwei Arten des Behandelns von Passwörtern: Global und per Image, beide in Klartext.

Das globale Passwort wird am Anfang der Konfigurationsdatei gesetzt und gilt für jedes Boot Image:

Befehlsauflistung 3.1: /etc/lilo.conf

password=änderemich
restricted
delay=3

Das pro-Image Passwort wird so eingefügt:

Befehlsauflistung 3.2: /etc/lilo.conf

image=/boot/bzImage
      read-only
      password=änderemich
      restricted

Wenn die restricted-Option nicht angegeben wurde, dann wird jedes Mal nach einem Passwort gefragt.

Um die Änderungen an lilo.conf zu übernehmen, müssen Sie /sbin/lilo ausführen.

2.d. Einschränkung der Konsolenbenutzung

Die Datei /etc/securetty erlaubt es Ihnen anzugeben an welchen tty (Terminal) Geräten root sich anmelden darf.

Wir empfehlen, dass Sie alle Zeilen bis auf vc/1 auskommentieren, wenn Sie devfs verwenden und alle Zeilen bis auf tty1 auskommentieren, wenn Sie udev verwenden. Dies stellt sicher, dass sich root nur einmal und nur an einem Terminal einloggen kann.

Notiz: Benutzer in der Gruppe "wheel" können weiter su - auf anderen TTYs verwenden um root zu werden.

Befehlsauflistung 4.1: /etc/securetty

(Für devfs)
vc/1
(Für udev)
tty1

[ << ] [ < ] [ Hauptseite ] [ > ] [ >> ]


Drucken

Alles ansehen

Seite aktualisiert 2. April 2010

Zusammenfassung: Straffen der Sicherheit während und nach der Installation.

Kim Nielsen
Autor

John P. Davis
Bearbeiter

Eric R. Stockbridge
Bearbeiter

Carl Anderson
Bearbeiter

Jorge Paulo
Bearbeiter

Sven Vermeulen
Bearbeiter

Benny Chuang
Bearbeiter

Sune Jeppesen
Bearbeiter

Tiemo Kieft
Bearbeiter

Zack Gilburd
Bearbeiter

Dan Margolis
Bearbeiter

Joshua Saddler
Bearbeiter

Jan Hendrik Grahl
Übersetzer

Tobias Scherbaum
Übersetzer

Matthias Geerdsen
Übersetzer

Tobias Heinlein
Übersetzer

Donate to support our development efforts.

Copyright 2001-2014 Gentoo Foundation, Inc. Questions, Comments? Contact us.