|
1.
USE-flägit
Make.conf sisältää käyttäjän määrittelemät järjestelmän
USE-flägit ja /etc/make.profile/make.defaults sisältää Gentoon
oletus-USE-flägit. Tämän oppaan kannalta tärkeitä ovat pam
(Pluggable Authentication Modules), tcpd (TCP wrappers), ja ssl
(Secure Socket Layer). Nämä ovat kaikki oletusarvoisia.
1.
GRUBin salasanasuojaus
GRUBissa on kaksi tapaa käyttää salasanoja. Ensimmäinen käyttää pelkkänä
tekstinä olevia salasanoja, toinen md5+salt-salausta.
Koodilistaus 1.1: /boot/grub/grub.conf |
timeout 5
password salasana
|
Tämä lisää salasanaksi salasana. Jos käynnistyksessä ei anneta
salasanaa, GRUB käynnistää oletusasetuksilla.
Md5-salasana pitää lisätä salatussa muodossa. Salaus on sama kuin tiedostossa
/etc/shadow. Lisätietoja salaustyypistä löytyy ohjesivulta
man crypt. Salasana changeme cryptillä salattuna näyttää
seuraavalta: $1$T7/dgdIJ$dJM.n2wZ8RG.oEiIOwJUs.
Salasanan voi salata GRUBin kehotteessa:
Koodilistaus 1.1: Md5crypt GRUBin kehotteessa |
#/sbin/grub
GRUB version 0.92 (640K lower / 3072K upper memory)
[ Minimal BASH-like line editing is supported. For the first word, TAB lists
possible command completions. Anywhere else TAB lists the possible
completions of a device/filename. ]
grub> md5crypt
Password: ********
Encrypted: $1$T7/dgdIJ$dJM.n2wZ8RG.oEiIOwJUs.
grub> quit
|
Leikkaa ja liitä salattu salasana tiedostoon /boot/grub/grub.conf.
Koodilistaus 1.1: /boot/grub/grub.conf |
timeout 5
password --md5 $1$T7/dgdIJ$dJM.n2wZ8RG.oEiIOwJUs.
|
5 sekuntia on hyödyllinen viive etäjärjestelmälle, jonka pitää pystyä myös
käynnistymään ilman näppäimistöä ja vuorovaikutusta. Lisätietoja GRUBin
salasanoista on infosivuilla info grub.
1.
LILOn salasanasuojaus
LILOssa on kaksi tapaa käsitellä salasanoja, yleinen ja käynnistyksittäinen.
Molemmat käsittelevät salasanoja pelkkänä tekstinä.
Yleinen salasana asetetaan asetustiedoston alussa, ja se vaikuttaa kaikkiin
käynnistyksiin:
Koodilistaus 1.1: /etc/lilo.conf |
password=changeme
restricted
delay=3
|
Käynnistyksittäinen asetetaan seuraavasti:
Koodilistaus 1.1: /etc/lilo.conf |
image=/boot/bzImage
read-only
password=changeme
restricted
|
Jos asetusta restricted ei käytetä, salasanaa kysytään joka kerta.
Uudet asetukset lilo.confissa otetaan käyttöön komennolla
/sbin/lilo.
1.
Konsolin käytön rajoittaminen
Tiedostossa /etc/securetty on tty:t (eli terminaalit),
joihin rootina voi kirjautua.
On suositeltavaa, että tästä poistetaan kaikki paitsi vc/1 (devfs:ssä)
tai tty1 (udevissä). Tällä tavoin varmistetaan, että root voi olla
kirjautuneena vain kerran ja vain yhdeltä terminaalilta.
Huomaa:
Käyttäjät wheel-ryhmässä voivat silti käyttää su - -komentoa
kirjautuakseen rootiksi muualla.
|
Koodilistaus 1.1: /etc/securetty |
vc/1
tty1
|
|
