Gentoo Logo

1.  Options USE

Le fichier make.conf contient les options de la variable USE définies par l'utilisateur et /etc/make.profile/make.defaults contient les options USE utilisées par défaut dans Gentoo Linux. Dans ce guide, nous allons nous intéresser aux options pam (Pluggable Authentication Modules), tcpd (couche TCP) et ssl (Secure Socket Layer). Elles sont toutes dans les options USE par défaut.

1.  Protéger GRUB par un mot de passe

GRUB permet d'ajouter une sécurisation par mot de passe à votre chargeur de démarrage de deux manières différentes. La première utilise un mot de passe en clair et la seconde fait appel à un cryptage md5+salt.

Exemple de code 1.1 : /boot/grub/grub.conf

timeout 5
password changez_moi

Cela ajoutera le mot de passe changez_moi. Si aucun mot de passe n'est entré lors du démarrage, les paramètres de démarrage par défaut seront utilisés.

Lorsque vous ajoutez un mot de passe md5, vous devez le convertir en format crypt, qui est le même format que celui utilisé dans le fichier /etc/shadow. Pour plus d'information, lisez man crypt. Le mot de passe crypté changez_moi peut, par exemple, ressembler à : $1$T7/dgdIJ$dJM.n2wZ8RG.oEiIOwJUs.

Vous pouvez convertir votre mot de passe directement dans le shell de GRUB :

Exemple de code 1.1 : cryptage md5 dans le shell GRUB

#/sbin/grub

    GRUB  version 0.92  (640K lower / 3072K upper memory)

   [ Minimal BASH-like line editing is supported.  For the first word, TAB lists
     possible command completions.  Anywhere else TAB lists the possible
     completions of a device/filename. ]

grub> md5crypt

Password: ***********
(Tapez changez_moi à l'invite de commande)
Encrypted: $1$T7/dgdIJ$dJM.n2wZ8RG.oEiIOwJUs.

grub> quit

Ensuite, copiez/collez votre mot de passe dans /boot/grub/grub.conf.

Exemple de code 1.1 : /boot/grub/grub.conf

timeout 5
password --md5 $1$T7/dgdIJ$dJM.n2wZ8RG.oEiIOwJUs.

Le temps limite de 5 secondes devient très pratique si votre système est controlé à distance et doit pouvoir redémarrer sans utiliser le clavier. Vous pouvez obtenir plus d'informations sur GRUB et les mots de passe en exécutant info grub.

1.  Protéger LILO par un mot de passe

LILO supporte deux méthodes pour manipuler les mots de passe : globale et par image. Les deux contiennent des mots de passe en clair.

Le mot de passe global se place en haut du fichier de configuration et s'applique à toutes les images de démarrage :

Exemple de code 1.1 : /etc/lilo.conf

password=changez_moi
restricted
delay=3

Le mot de passe par image est défini comme suit :

Exemple de code 1.1 : /etc/lilo.conf

image=/boot/bzImage
      read-only
      password=changez_moi
      restricted

Si l'option restricted n'est pas spécifiée, l'ordinateur vous demandera un mot de passe à chaque fois.

Vous devez exécuter /sbin/lilo pour enregistrer les informations que vous avez entrées dans votre fichier lilo.conf.

1.  Restrictions concernant l'utilisation de la console

Le fichier /etc/securetty vous permet de spécifier quels sont les périphériques tty (terminaux) utilisables par root pour se connecter.

Nous vous conseillons de commenter toutes les lignes à part vc/1 si vous utilisez devfs ou toutes les lignes sauf tty1 si vous utilisez udev. Cela vous permettra d'être sûr que root n'a le droit de se connecter qu'une seule fois et sur un seul terminal.

Note : les utilisateurs du groupe « wheel » peuvent toujours utiliser su - pour devenir root sur d'autres TTY.

Exemple de code 1.1 : /etc/securetty

(Avec devfs)
vc/1

(Avec udev)
tty1

Dernière mise à jour le 4 mars 2006

Donate to support our development efforts.

Copyright 2001-2014 Gentoo Foundation, Inc. Questions, Comments? Contact us.