Безопасность и оптимизация Linux.Редакция для Red Hat
       

Файл “/etc/lilo.conf”.


LILO это универсальный загрузчик для Linux. Он не зависит от файловой системы и может загружать ядро Linux как с гибкого диска, так и с жесткого диска. Кроме того, LILO может служить загрузчиком других операционных систем.

LILO очень важен для Linux и поэтому мы должны защитить его как можно лучше. Наиболее важным конфигурационным файлом является “/etc/lilo.conf”. С его помощью вы можете настраивать и улучшать безопасность LILO и всей системы. Следующие три опции чрезвычайно важны для улучшения безопасности.

    Добавьте: timeout=00


    Эта опция контролирует как долго (в десятых долях секунды) LILO ждет ввода информации от пользователя перед тем как продолжит загрузку “по умолчанию”. Одним из требований уровня безопасности C2 является возможность установки интервала равного 0. Установите эту опцию в 0, если у вас нет необходимости в различных вариантах загрузки.

  1. Добавьте: restricted


    2. Эта опция ослабляет парольную защиту, так как она требует введение пароля только если были определены параметры загрузки (например, linux single). Она может использоваться только совместно с опцией “password”. Убедитесь, что вы используете эту опцию с каждым образом.

  2. Добавьте: password=<password>


    3. Это опция требует запроса пароля у пользователя если он загружает linux в однопользовательском режиме. Пароль является зависимым от регистра. Обязательно проверьте, чтобы файл “/etc/lilo.conf” мог читать только пользователь root.

Ниже приведена процедура защиты LILO

Шаг 1.

Измените файл “/etc/lilo.conf”
boot=/dev/sda


map=/boot/map


install=/boot/boot.b


prompt




timeout=00


Default=linux


restricted


password=<password> определите свой пароль


image=/boot/vmlinuz-2.2.12-20


label=linux


initrd=/boot/initrd-2.2.12-10.img


root=/dev/sda6


read-only

Шаг 2.

Сделайте этот файл доступным для чтения только пользователем root (в файле хранится пароль в незашифрованном виде).
[root@deep]# chmod 600 /etc/lilo.conf

Шаг 3.

Выполните следующую команду, чтобы все изменения вошли в силу:
[root@deep]# /sbin/lilo –v

Шаг 4.

Защитите файл от изменения и удаления установив на него атрибут “не изменчивости”
[root@deep]# chattr +i /etc/lilo.conf

Теперь, чтобы внести в “/etc/lilo.conf” какие-нибудь изменения, этот атрибут надо снять:
[root@deep]# chattr -i /etc/lilo.conf



Содержание раздела