[ << ] [ < ] [ Home ] [ > ] [ >> ]

2. Tenere sotto controllo la sicurezza

• Flag USE
• Proteggere la password di GRUB
• Proteggere la password di LILO
• Restringere l'uso della console

2.a. Flag USE

Il file make.conf contiene le flag USE definite dall'utente e /etc/make.profile/make.defaults contiene le flag USE di default per Gentoo Linux. Per lo scopo di questo manuale, le flag importanti sono pam (Pluggable Authentication Modules), tcpd (TCP wrappers), e ssl (Secure Socket Layer). Queste sono tutte nelle flag USE di default.

2.b. Proteggere la password di GRUB

GRUB supporta due modi differenti di aggiungere la protezione alla password. Il primo usa plain text, il secondo usa la crittografia md5+salt.

timeout 5
password changeme

Questo aggiunge la password changeme. Se nessuna password è digitata al boot, GRUB userà le impostazioni di boot di default.

Quando si aggiunge una password md5, si deve convertire la propria password nel formato cifrato, lo stesso usato in /etc/shadow. Per altre informazioni vedere man crypt. La password cifrata changeme, per esempio, può essere come questa: $1$T7/dgdIJ$dJM.n2wZ8RG.oEiIOwJUs.

Si può crittografare la propria password direttamente nella shell di GRUB:

#/sbin/grub

GRUB version 0.92 (640K lower / 3072K upper memory)

   [ Minimal BASH-like line editing is supported. For the first word, TAB lists
     possible command completions. Anywhere else TAB lists the possible
     completions of a device/filename. ]

grub> md5crypt

Password: ********
(Digitare changeme al prompt)
Encrypted: $1$T7/dgdIJ$dJM.n2wZ8RG.oEiIOwJUs.

grub> quit

Tagliare e incollare la password in /boot/grub/grub.conf.

timeout 5
password --md5 $1$T7/dgdIJ$dJM.n2wZ8RG.oEiIOwJUs.

I 5 secondi di timeout diventano utili se il sistema è remoto e si deve abilitare il riavvio senza una interazione con la tastiera. Altre informazioni su le password di GRUB sono nel comando info grub.

2.c. Proteggere la password di LILO

LILO supporta due modi di gestione delle password: il modo globale e quello per immagine, entrambi in testo.

La password globale è impostata all'inizio del file di configurazione, e applicata a ogni immagine di boot:

password=changeme
restricted
delay=3

La password per immagine è impostata nel seguente modo:

image=/boot/bzImage
      read-only
      password=changeme
      restricted

Se non si mette restricted, ogni volta c'è il prompt per la password.

Per immagazzinare le nuove informazioni in lilo.conf, si deve eseguire /sbin/lilo.

2.d. Restringere l'uso della console

Il file /etc/securetty permette di specificare su quale periferica tty (terminale), root ha il permesso di fare il login.

Si suggerisce di non commentare tutte le righe tranne vc/1 se si sta usando devfs e tutte le righe tranne tty1 se si sta usando udev. Questo assicura che solo il root può fare il login e solo su un terminale.

(Per devfs)
vc/1
(Per udev)
tty1

[ << ] [ < ] [ Home ] [ > ] [ >> ]

I contenuti di questo documento sono rilasciati sotto la licenza Creative Commons - Attribution / Share Alike.