12.21. Защита LILO паролем

Проблема

Вы не хотите, чтобы пользователи испортили тщательно настроенную конфигурацию загрузчика. Также стоит сделать так, чтобы они не могли использовать возможности LILO для получения доступа root без пароля, что легко делается вводом команды:

linux single

или:

linux init=/bin/sh

в приглашении LILO.

Решение

Ограничьте доступ к файлу lilo.conf и разрешите его только суперпользователю root:

# chmod 600 lilo.conf

Затем защитите LILO паролем. В секцию глобальных параметров файла lilo.conf добавьте следующие строки:

password="ваш_пароль"
restricted

После внесения изменений перезапустите LILO, чтобы они вступили в силу:

# /sbin/lilo

Программа запросит пароль root. После этого создаётся файл /etc/lilo.conf.shs с паролем, доступным только для root. Теперь при перезагрузке системы LILO будет запрашивать пароль у каждого, кто попытается ввести команды linux single или linux init=/bin/sh.

Комментарий

Для дополнительной безопасности на стадии загрузки рекомендуется заблокировать все внешние загрузочные устройства через BIOS и установить пароль на вход в BIOS. Это решение не идеально, но по крайней мере, оно помешает рядовым пользователям изменить вашу конфигурацию.

Дополнительно стоит упомянуть, что защита паролем LILO — это важный шаг в предотвращении получения root-доступа через возможности, предоставляемые загрузочной системой. Однако защита на уровне BIOS также играет ключевую роль. Злоумышленники могут использовать внешние загрузочные устройства, такие как USB-накопители или CD-диски, чтобы загрузить альтернативную операционную систему и получить доступ к данным на диске, если эта защита не установлена. Поэтому отключение загрузки с внешних устройств и установка пароля в BIOS добавляют ещё один уровень безопасности.

Важно также отметить, что использование простой команды chmod для изменения прав доступа к файлу конфигурации не делает систему полностью защищённой, особенно если у злоумышленников есть физический доступ к серверу или компьютеру. Поэтому помимо настройки LILO, стоит рассмотреть другие методы защиты, такие как использование дискозамков или шифрование данных.

При внесении изменений в конфигурацию LILO всегда стоит помнить о возможных последствиях для системы. Например, неправильные настройки могут привести к невозможности загрузки операционной системы. Поэтому рекомендуется иметь под рукой живую USB-флешку или загрузочный диск с Linux для восстановления системы в случае, если что-то пойдёт не так. Создание резервной копии файла lilo.conf также является хорошей практикой.

Хотя защита LILO паролем добавляет уровень безопасности, в современных системах рекомендуется использовать загрузчики вроде GRUB, которые обладают расширенными функциями безопасности, включая встроенные механизмы для защиты паролем и поддержку более современных шифровальных методов.

См. также

lilo(8), lilo.conf(5); /usr/doc/lilo или /usr/share/doc/lilo.