|
1.
Options USE
Le fichier make.conf contient les options de la variable USE
définies par l'utilisateur et /etc/make.profile/make.defaults
contient les options USE utilisées par défaut dans Gentoo Linux. Dans ce
guide, nous allons nous intéresser aux options pam (Pluggable
Authentication Modules), tcpd (couche TCP) et ssl (Secure Socket
Layer). Elles sont toutes dans les options USE par défaut.
1.
Protéger GRUB par un mot de passe
GRUB permet d'ajouter une sécurisation par mot de passe à votre chargeur de
démarrage de deux manières différentes. La première utilise un mot de passe en
clair et la seconde fait appel à un cryptage md5+salt.
Exemple de code 1.1 : /boot/grub/grub.conf |
timeout 5
password changez_moi
|
Cela ajoutera le mot de passe changez_moi. Si aucun mot de passe n'est
entré lors du démarrage, les paramètres de démarrage par défaut seront utilisés.
Lorsque vous ajoutez un mot de passe md5, vous devez le convertir en format
crypt, qui est le même format que celui utilisé dans le fichier
/etc/shadow. Pour plus d'information, lisez man crypt. Le
mot de passe crypté changez_moi peut, par exemple, ressembler à :
$1$T7/dgdIJ$dJM.n2wZ8RG.oEiIOwJUs.
Vous pouvez convertir votre mot de passe directement dans le shell de
GRUB :
Exemple de code 1.1 : cryptage md5 dans le shell GRUB |
#/sbin/grub
GRUB version 0.92 (640K lower / 3072K upper memory)
[ Minimal BASH-like line editing is supported. For the first word, TAB lists
possible command completions. Anywhere else TAB lists the possible
completions of a device/filename. ]
grub> md5crypt
Password: ***********
Encrypted: $1$T7/dgdIJ$dJM.n2wZ8RG.oEiIOwJUs.
grub> quit
|
Ensuite, copiez/collez votre mot de passe dans
/boot/grub/grub.conf.
Exemple de code 1.1 : /boot/grub/grub.conf |
timeout 5
password --md5 $1$T7/dgdIJ$dJM.n2wZ8RG.oEiIOwJUs.
|
Le temps limite de 5 secondes devient très pratique si votre système est
controlé à distance et doit pouvoir redémarrer sans utiliser le clavier. Vous
pouvez obtenir plus d'informations sur GRUB et les mots de passe en exécutant
info grub.
1.
Protéger LILO par un mot de passe
LILO supporte deux méthodes pour manipuler les mots de passe : globale et
par image. Les deux contiennent des mots de passe en clair.
Le mot de passe global se place en haut du fichier de configuration et
s'applique à toutes les images de démarrage :
Exemple de code 1.1 : /etc/lilo.conf |
password=changez_moi
restricted
delay=3
|
Le mot de passe par image est défini comme suit :
Exemple de code 1.1 : /etc/lilo.conf |
image=/boot/bzImage
read-only
password=changez_moi
restricted
|
Si l'option restricted n'est pas spécifiée, l'ordinateur vous demandera
un mot de passe à chaque fois.
Vous devez exécuter /sbin/lilo pour enregistrer les informations que
vous avez entrées dans votre fichier lilo.conf.
1.
Restrictions concernant l'utilisation de la console
Le fichier /etc/securetty vous permet de spécifier quels sont les
périphériques tty (terminaux) utilisables par root pour se connecter.
Nous vous conseillons de commenter toutes les lignes à part vc/1 si vous
utilisez devfs ou toutes les lignes sauf tty1 si vous utilisez udev.
Cela vous permettra d'être sûr que root n'a le droit de se connecter qu'une
seule fois et sur un seul terminal.
Note :
les utilisateurs du groupe « wheel » peuvent toujours utiliser su
- pour devenir root sur d'autres TTY.
|
Exemple de code 1.1 : /etc/securetty |
vc/1
tty1
|
|
