Gentoo Linux Handbook Page --

1. USE-флаги

В Gentoo Linux файл make.conf содержит USE-флаги, определенные пользователем, а /etc/make.profile/make.defaults — USE-флаги по умолчанию. Для данного руководства важны флаги pam (Pluggable Authentication Modules — подключаемые модули опознания), tcpd (Упаковщики TCP) и ssl (Secure Socket Layer). Все они включены в USE-флаги по умолчанию.

1. Защита GRUB паролем

В GRUB можно защитить загрузчик паролем двумя различными способами. В первом используется открытый пароль, а во втором — шифрование с использованием md5+salt.

Листинг 1.1: /boot/grub/grub.conf

timeout 5
password changeme

Благодаря этим строкам был добавлен пароль changeme. Если во время загрузки не ввести пароль, то GRUB просто загружает вариант по умолчанию.

При добавлении пароля MD5 вы должны преобразовать открытый пароль в зашифрованный в том же формате, что и в файле /etc/shadow. За дополнительными сведениями обращайтесь к man crypt. Зашифрованный пароль, например changeme, может выглядеть вот так: $1$T7/dgdIJ$dJM.n2wZ8RG.oEiIOwJUs.

Зашифровать пароль можно прямо в оболочке GRUB:

Листинг 1.1: md5crypt в оболочке grub

#/sbin/grub

GRUB version 0.92 (640K lower / 3072K upper memory)

   [ Minimal BASH-like line editing is supported. For the first word, TAB lists
     possible command completions. Anywhere else TAB lists the possible
     completions of a device/filename. ]

grub> md5crypt

Password: ********
(было набрано слово changeme)
Encrypted: $1$T7/dgdIJ$dJM.n2wZ8RG.oEiIOwJUs.

grub> quit

Затем скопируйте полученный пароль в /boot/grub/grub.conf.

Листинг 1.1: /boot/grub/grub.conf

timeout 5
password --md5 $1$T7/dgdIJ$dJM.n2wZ8RG.oEiIOwJUs.

Задержка в 5 секунд пригодится в случае, когда система физически недоступна, и нужна возможность перезагрузки без использования клавиатуры. Более подробно о паролях в GRUB вы можете узнать, набрав info grub.

1. Защита LILO паролем

В LILO также поддерживается два способа защиты с помощью пароля: общий и для отдельного образа, в обоих случаях пароль хранится в открытом виде.

Общий пароль устанавливается в начале файла конфигурации и относится к каждому загрузочному образу:

Листинг 1.1: /etc/lilo.conf

password=changeme
restricted
delay=3

Пароль для отдельного образа устанавливается следующим образом:

Листинг 1.1: /etc/lilo.conf

image=/boot/bzImage
      read-only
      password=changeme
      restricted

Если параметр restricted не введен, то пароль будет запрашиваться при каждой загрузке.

Чтобы сохранить новые сведения в файле lilo.conf, нужно запустить /sbin/lilo.

1. Ограничение доступа к консоли

С помощью файла /etc/securetty можно указать, с каких терминальных устройств (tty) можно входить в систему администратору.

Рекомендуется закомментировать все строки, кроме vc/1 (если у вас devfs), или кроме tty1 (если у вас udev). Благодаря этому суперпользователь сможет входить в систему одновременно только один раз и только с одного терминала.

Примечание: Пользователи, входящие в группу «wheel» по-прежнему смогут воспользоваться su -, чтобы стать администратором, работая с других терминалов.

Листинг 1.1: /etc/securetty

(для devfs)
vc/1
(для udev)
tty1

Обновлено 4 марта 2006

Donate to support our development efforts.