Gentoo Logo

1.  Flag USE

Il file make.conf contiene le flag USE definite dall'utente e /etc/make.profile/make.defaults contiene le flag USE di default per Gentoo Linux. Per lo scopo di questo manuale, le flag importanti sono pam (Pluggable Authentication Modules), tcpd (TCP wrappers), e ssl (Secure Socket Layer). Queste sono tutte nelle flag USE di default.

1.  Proteggere la password di GRUB

GRUB supporta due modi differenti di aggiungere la protezione alla password. Il primo usa plain text, il secondo usa la crittografia md5+salt.

Codice 1.1: /boot/grub/grub.conf

timeout 5
password changeme

Questo aggiunge la password changeme. Se nessuna password è digitata al boot, GRUB userà le impostazioni di boot di default.

Quando si aggiunge una password md5, si deve convertire la propria password nel formato cifrato, lo stesso usato in /etc/shadow. Per altre informazioni vedere man crypt. La password cifrata changeme, per esempio, può essere come questa: $1$T7/dgdIJ$dJM.n2wZ8RG.oEiIOwJUs.

Si può crittografare la propria password direttamente nella shell di GRUB:

Codice 1.1: md5crypt in grub shell

#/sbin/grub

GRUB version 0.92 (640K lower / 3072K upper memory)

   [ Minimal BASH-like line editing is supported. For the first word, TAB lists
     possible command completions. Anywhere else TAB lists the possible
     completions of a device/filename. ]

grub> md5crypt

Password: ********
(Digitare changeme al prompt)
Encrypted: $1$T7/dgdIJ$dJM.n2wZ8RG.oEiIOwJUs.

grub> quit

Tagliare e incollare la password in /boot/grub/grub.conf.

Codice 1.1: /boot/grub/grub.conf

timeout 5
password --md5 $1$T7/dgdIJ$dJM.n2wZ8RG.oEiIOwJUs.

I 5 secondi di timeout diventano utili se il sistema è remoto e si deve abilitare il riavvio senza una interazione con la tastiera. Altre informazioni su le password di GRUB sono nel comando info grub.

1.  Proteggere la password di LILO

LILO supporta due modi di gestione delle password: il modo globale e quello per immagine, entrambi in testo.

La password globale è impostata all'inizio del file di configurazione, e applicata a ogni immagine di boot:

Codice 1.1: /etc/lilo.conf

password=changeme
restricted
delay=3

La password per immagine è impostata nel seguente modo:

Codice 1.1: /etc/lilo.conf

image=/boot/bzImage
      read-only
      password=changeme
      restricted

Se non si mette restricted, ogni volta c'è il prompt per la password.

Per immagazzinare le nuove informazioni in lilo.conf, si deve eseguire /sbin/lilo.

1.  Restringere l'uso della console

Il file /etc/securetty permette di specificare su quale periferica tty (terminale), root ha il permesso di fare il login.

Si suggerisce di non commentare tutte le righe tranne vc/1 se si sta usando devfs e tutte le righe tranne tty1 se si sta usando udev. Questo assicura che solo il root può fare il login e solo su un terminale.

Nota: Gli utenti nel gruppo "wheel" possono fare su - per diventare root su altri TTY.

Codice 1.1: /etc/securetty

(Per devfs)
vc/1
(Per udev)
tty1

Aggiornato il 4 marzo 2006

Donate to support our development efforts.

Copyright 2001-2014 Gentoo Foundation, Inc. Questions, Comments? Contact us.