Le fichier make.conf contient les options de la variable USE définies par l'utilisateur et /etc/make.profile/make.defaults contient les options USE utilisées par défaut dans Gentoo Linux. Dans ce guide, nous allons nous intéresser aux options pam (Pluggable Authentication Modules), tcpd (couche TCP) et ssl (Secure Socket Layer). Elles sont toutes dans les options USE par défaut.
1. Protéger GRUB par un mot de passe
GRUB permet d'ajouter une sécurisation par mot de passe à votre chargeur de démarrage de deux manières différentes. La première utilise un mot de passe en clair et la seconde fait appel à un cryptage md5+salt.
Exemple de code 1.1 : /boot/grub/grub.conf |
timeout 5 password changez_moi |
Cela ajoutera le mot de passe changez_moi. Si aucun mot de passe n'est entré lors du démarrage, les paramètres de démarrage par défaut seront utilisés.
Lorsque vous ajoutez un mot de passe md5, vous devez le convertir en format crypt, qui est le même format que celui utilisé dans le fichier /etc/shadow. Pour plus d'information, lisez man crypt. Le mot de passe crypté changez_moi peut, par exemple, ressembler à : $1$T7/dgdIJ$dJM.n2wZ8RG.oEiIOwJUs.
Vous pouvez convertir votre mot de passe directement dans le shell de GRUB :
Exemple de code 1.1 : Cryptage md5 dans le shell GRUB |
#/sbin/grub GRUB version 0.92 (640K lower / 3072K upper memory) [ Minimal BASH-like line editing is supported. For the first word, TAB lists possible command completions. Anywhere else TAB lists the possible completions of a device/filename. ] grub> md5crypt Password: *********** (Tapez changez_moi à l'invite de commande) Encrypted: $1$T7/dgdIJ$dJM.n2wZ8RG.oEiIOwJUs. grub> quit |
Ensuite, copiez/collez votre mot de passe dans /boot/grub/grub.conf.
Exemple de code 1.1 : /boot/grub/grub.conf |
timeout 5 password --md5 $1$T7/dgdIJ$dJM.n2wZ8RG.oEiIOwJUs. |
Le temps limite de 5 secondes devient très pratique si votre système est controlé à distance et doit pouvoir redémarrer sans utiliser le clavier. Vous pouvez obtenir plus d'informations sur GRUB et les mots de passe en exécutant info grub.
1. Protéger LILO par un mot de passe
LILO supporte deux méthodes pour manipuler les mots de passe : globale et par image. Les deux contiennent des mots de passe en clair.
Le mot de passe global se place en haut du fichier de configuration et s'applique à toutes les images de démarrage :
Exemple de code 1.1 : /etc/lilo.conf |
password=changez_moi restricted delay=3 |
Le mot de passe par image est défini comme suit :
Exemple de code 1.1 : /etc/lilo.conf |
image=/boot/bzImage
read-only
password=changez_moi
restricted
|
Si l'option restricted n'est pas spécifiée, l'ordinateur vous demandera un mot de passe à chaque fois.
Vous devez exécuter /sbin/lilo pour enregistrer les informations que vous avez entrées dans votre fichier lilo.conf.
1. Restrictions concernant l'utilisation de la console
Le fichier /etc/securetty vous permet de spécifier quels sont les périphériques tty (terminaux) utilisables par root pour se connecter.
Nous vous conseillons de commenter toutes les lignes à part vc/1 si vous utilisez devfs ou toutes les lignes sauf tty1 si vous utilisez udev. Cela vous permettra d'être sûr que root n'a le droit de se connecter qu'une seule fois et sur un seul terminal.
Note : Les utilisateurs du groupe « wheel » peuvent toujours utiliser su - pour devenir root sur d'autres TTY. |
Exemple de code 1.1 : /etc/securetty |
(Avec devfs) vc/1 (Avec udev) tty1 |