|
1.
Flagi USE
Plik make.conf zawiera zdefiniowane przez użytkownika flagi USE, a
w pliku /etc/make.profile/make.defaults znajduję się te wybrane
jako domyślne dla Gentoo. Ten przewodnik nawiązuje do flag
pam (Pluggable Authentication Modules), tcpd (TCP wrappers) i
ssl (Secure Socket Layer). Wszystkie są włączane w domyślnej
konfiguracji.
1.
Ochrona hasłem w GRUB
Istnieją dwa sposoby zabezpieczenia tego bootloadera hasłem. Pierwszy przy
użyciu otwartego tekstu, a drugi z hasłem zaszyfrowanym przy pomocy algorytmu
md5+salt.
Listing 1.1: /boot/grub/grub.conf |
timeout 5
password changeme
|
Taki wpis ustala hasło na ciąg znaków zmień_mnie. Jeśli hasło nie
zostanie wpisane przy starcie systemu, GRUB użyje domyślnych ustawień.
Przed ustawieniem hasła w postaci md5 trzeba je zaszyfrować do formatu takiego
jak ten używany w pliku /etc/shadow. Więcej informacji można
znaleźć w dokumencie man crypt. Zaszyfrowane hasło zmień_mnie ma
taką postać: 4ff4d55e97d977e3b9d04b5418426403.
Zaszyfrowania hasła można dokonać bezpośrednio z powłoki GRUB-a:
Listing 1.1: md5crypt w powłoce grub |
#/sbin/grub
GRUB version 0.92 (640K lower / 3072K upper memory)
[ Minimal BASH-like line editing is supported. For the first word, TAB lists
possible command completions. Anywhere else TAB lists the possible
completions of a device/filename. ]
grub> md5crypt
Password: ********
Encrypted: $1$T7/dgdIJ$dJM.n2wZ8RG.oEiIOwJUs.
grub> quit
|
Następnie należy skopiować zaszyfrowane hasło i wkleić je do pliku
/boot/grub/grub.conf.
Listing 1.1: /boot/grub/grub.conf |
timeout 5
password --md5 $1$T7/dgdIJ$dJM.n2wZ8RG.oEiIOwJUs.
|
Pięciosekundowe opóźnienie jest przydatne przy zdalnej administracji systemem,
kiedy chcemy mieć możliwość uruchomienia systemu bez bezpośredniego do niego
dostępu. Więcej informacji o hasłach w GRUB można uzyskać wpisując polecenie
info grub.
1.
Ochrona hasłem w LILO.
LILO również posiada dwie metody postępowania z hasłami: globalną oraz osobną
dla każdego obrazu, niestety nie ma możliwości ich zaszyfrowania.
Globalne hasło ustawia się na samej górze pliku konfiguracyjnego, ma ono
zastosowanie dla każdego obrazu jądra:
Listing 1.1: /etc/lilo.conf |
password=changeme
restricted
delay=3
|
Poniżej znajduje się przykład ustawienia hasła dla określonego obrazu:
Listing 1.1: /etc/lilo.conf |
image=/boot/bzImage
read-only
password=changeme
restricted
|
Jeśli nie dopiszemy opcji restricted będziemy za każdym razem pytani o
hasło.
Żeby zastosować zmiany należy uruchomić /sbin/lilo.
1.
Ograniczanie dostępu do konsoli
W pliku /etc/securetty można skonfigurować te urządzenia
tty (terminale), na których będzie mógł się logować root.
Zalecamy zakomentowanie wszystkich linii poza vc/1 jeśli używa się devfs
i wszystkich linii poza tty1 jeśli korzysta się z udev. Spowoduje to, że
root będzie mógł być zalogowany tylko raz i tylko na jednym terminalu.
Uwaga:
Użytkownicy z grupy 'wheel' wciąż będą mogli stawać się rootem przy pomocy
polecenia su - na innych terminalach.
|
Listing 1.1: /etc/securetty |
vc/1
tty1
|
|
