[ << ] [ < ] [ Hauptseite ] [ > ] [ >> ]

2. Die Sicherheit straffen

• USE Flags
• GRUB Passwortschutz
• LILO Passwortschutz
• Einschränkung der Konsolenbenutzung

2.a. USE Flags

Die make.conf-Datei enthält die benutzerdefinierten USE Flags und /etc/make.profile/make.defaults die Standard USE Flags für Gentoo Linux. Die wichtigen Flags für diesen Leitfaden sind pam (Pluggable Authentication Module), tcpd (TCP Wrapper) und ssl (Secure Socket Layer). Diese sind alle in den Standard USE Flags enthalten.

2.b. GRUB Passwortschutz

Grub unterstützt zwei verschiedene Wege zur Passwortkontrolle: Zum einen normalen Text und zum anderen md5+salt-Verschlüsselung.

timeout 5
password änderemich

Dies wird das Passwort änderemich hinzufügen; wenn kein Passwort eingegeben ist, wird die Standard-Boot-Einstellung verwendet.

Sollte ein md5-Passwort genommen werden, dann müssen Sie das Passwort ins Crypt-Format konvertieren, welches auch in /etc/shadow verwendet wird, für weitere Informationen siehe man crypt. Zum Beispiel könnte das verschlüsselte Passwort änderemich so aussehen: $1$Jd74x0$1s/sTlc8gJqqq.IOgsY3I.

Sie können das Passwort direkt in der GRUB Shell konvertieren:

#/sbin/grub

    GRUB  version 0.92  (640K lower / 3072K upper memory)

   [ Minimal BASH-like line editing is supported.  For the first word, TAB
     lists possible command completions.  Anywhere else TAB lists the possible
     completions of a device/filename. ]

grub> md5crypt

Password: ********
Typed changeme
Encrypted: $1$Jd74x0$1s/sTlc8gJqqq.IOgsY3I.

grub> quit

Dann kopieren Sie das Passwort und fügen es in /boot/grub/grub.conf ein.

timeout 5
password --md5 $1$Jd74x0$1s/sTlc8gJqqq.IOgsY3I.

Der Zeitablauf von 5 Sekunden wird sinnvoll, wenn das System fernbedient wird und bei einem Neustart ohne Tastatureingaben auskommen muss. Mehr Informationen über Grub-Passwörter können Sie bekommen, wenn Sie info grub ausführen.

2.c. LILO Passwortschutz

LILO unterstützt auch zwei Arten des Behandelns von Passwörtern: Global und per Image, beide in Klartext.

Das globale Passwort wird am Anfang der Konfigurationsdatei gesetzt und gilt für jedes Boot Image:

password=änderemich
restricted
delay=3

Das pro-Image Passwort wird so eingefügt:

image=/boot/bzImage
      read-only
      password=änderemich
      restricted

Wenn die restricted-Option nicht angegeben wurde, dann wird jedes Mal nach einem Passwort gefragt.

Um die Änderungen an lilo.conf zu übernehmen, müssen Sie /sbin/lilo ausführen.

2.d. Einschränkung der Konsolenbenutzung

Die Datei /etc/securetty erlaubt es Ihnen anzugeben an welchen tty (Terminal) Geräten root sich anmelden darf.

Wir empfehlen, dass Sie alle Zeilen bis auf vc/1 auskommentieren, wenn Sie devfs verwenden und alle Zeilen bis auf tty1 auskommentieren, wenn Sie udev verwenden. Dies stellt sicher, dass sich root nur einmal und nur an einem Terminal einloggen kann.

(Für devfs)
vc/1
(Für udev)
tty1

[ << ] [ < ] [ Hauptseite ] [ > ] [ >> ]

Die Inhalte dieses Dokuments sind, sofern nicht explizit anders genannt, unter der Creative Commons - Namensnennung / Weitergabe Lizenz lizenziert. Die Gentoo Name and Logo Usage Guidelines treffen zu.