|
1.
USE flags
Het make.conf bestand bevat alle opties en vermeld de extra bibliotheken die je
wil gebruiken wanneer je je ebuilds compileert. In dit bestand moet je
minstens ebuild-ondersteuning meegeven voor veiligheidsbibliotheken zoals PAM
(Pluggable Authentication Modules), tcp wrappers of SSL (Secure Socket Layer).
Je USE-variabele moet dus minstens pam, tcpd en ssl bevatten.
Voeg dus het volgende toe:
Codevoorbeeld 1.1: USE aanpassingen |
USE="tcpd pam ssl"
|
1.
GRUB paswoord
Grub ondersteunt 2 methodes van paswoordrestrictie in zijn configuratiebestand
(/boot/grub/grub.conf). De ene is met een gewoon paswoord, de
andere is met md5+salt encryptie.
Codevoorbeeld 1.1: /boot/grub/grub.conf |
timeout 5
password changeme
|
Dit zal het paswoord changeme gebruiken en als er geen paswoord
opgegeven wordt zal het de default instellingen opstarten.
Indien je een md5 paswoord wil invullen moet je het paswoord in crypt-formaat
(man crypt) converteren wat hetzelfde formaat is als dat het shadow
paswoordbestand gebruikt. Bijvoorbeeld zal het geencrypteerde paswoord
changeme er als volgt uitzien: $1$T7/dgdIJ$dJM.n2wZ8RG.oEiIOwJUs.
Dit wordt weergegeven in de volgende configuratieinstellingen:
Codevoorbeeld 1.1: /boot/grub/grub.conf |
timeout 5
password --md5 $1$T7/dgdIJ$dJM.n2wZ8RG.oEiIOwJUs.
|
Waarschuwing:
Wanneer je dit wil testen, vergeet dan niet de timeout in te stellen. Anders
zal je niet de mogelijkheid krijgen om je systeem te booten indien je paswoord
verkeerd is.
|
De 5-seconden timeout is zeer handig indien het systeem op een andere locatie
staat en de pc moet kunnen booten zonder keyboard-interactie. Meer informatie
over Grub paswoorden kan je vinden in info grub.
1.
LILO paswoord
LILO ondersteunt ook 2 methodes van paswoorden: een globale en een per-image
gebaseerde; beide zijn gewone (niet-geencrypteerde) paswoorden.
Het globale paswoord zet je bovenaan je configuratiebestand:
Codevoorbeeld 1.1: /etc/lilo.conf |
password=changeme
restricted
delay=3
|
In het andere geval voeg je het gewoon toe aan een image.
Codevoorbeeld 1.1: /etc/lilo.conf |
image=/boot/bzImage
read-only
password=changeme
restricted
|
Indien de restricted optie niet meegegeven wordt zal LILO altijd achter
een paswoord vragen, indien de optie wel meegegeven wordt zal LILO enkel achter
een paswoord vragen indien je iets anders dan de default instellingen wil
gebruiken.
Om de nieuw aangebrachte aanpassingen door te voeren moet je /sbin/lilo
opnieuw uitvoeren.
1.
Consolegebruik beperken
/etc/securetty bevat de terminals waarop je als root mag inloggen.
We raden aan dat je alles behalve vc/1 verwijdert. Hierdoor zorg je ervoor dat
root maar op 1 terminal tegelijkertijd kan inloggen (su - wordt niet
meegerekend).
Codevoorbeeld 1.1: /etc/securetty |
vc/1
tty1
|
|
