Para evitar acessos não autorizados ao sistema com poder de root ao passar parâmetros no prompt do LILO sem que seja pedida uma senha para isto, devemos proteger o mesmo com uma senha, permitindo assim somente o acesso normal ao sistema escolhido no boot pelo usuários comuns.
Por exemplo ao usar a tecla TAB no menu do LILO, irá aparecer um prompt escrito boot: e ser for digitado:
salix linux init=/bin/bash rw
Onde salix é o nome no menu que inicia o Salix, devendo ser exatamente igual como está no menu do LILO.
A partição do sistema é montada como escrita e leitura, caindo diretamente num shell de root sem precisar digitar user ou senha para isto.
Para proteger o seu sistema, desta falha de segurança coloque estas duas linhas no arquivo /etc/lilo.conf
password=1234suasenha
restricted
Notas:
Coloque as linhas citadas antes da image do salix.
A opção password= contém a sua senha em texto plano e a mesma deve ser diferente do usuário root.
A opção restricted em conjuto com a opção password diz que a senha somente é necessária ser for passado algum parâmetro no prompt boot do LILO.
Exemplo do meu arquivo /etc/lilo.conf
boot = /dev/sda
bitmap = /boot/salix.bmp
bmp-colors = 255,0,255,0,255,0
bmp-table = 60,6,1,16
bmp-timer = 65,27,0,255
vga = 791
lba32
prompt
timeout = 50
compact
password=********
restricted
image = /boot/vmlinuz
root = /dev/sda6
label = salix
read-only
other = /dev/sda1
label = Windows
table = /dev/sda
Agora devemos proteger o arquivo /etc/lilo.conf da leitura dos usuários comuns, pois o padrão das permissões permite a visualização do arquivo no qual mostraria a senha de acesso ao LILO.
Como root ou usando o sudo faça:
$ sudo chmod 600 /etc/lilo.conf
Com isto nenhum usuário comum conseguirá visualizar o conteudo do arquivo /etc/lilo.conf ou copiar o mesmo para qualquer lugar.
Com tudo feito e configurado agora devemos atualizar o LILO digitando o comando abaixo:
$ sudo lilo -v
Pronto.
Notas:
Este procedimento pode ser feita em qualquer distro GNU/Linux que utiliza o LILO como gestor de boot.
Procedimento realizado no Salix 14.1.
Proteção paranoia
Este procedimento somente é necessário em casos muitos especiais, caso desejar impedir o acesso a qualquer pessoa a seu computador pessoal, seja um desktop ou notebook é colocar uma senha na Bios, no qual sempre terá que digitar a senha ao ligar o computador para prosseguir com o boot normal a fim de impedir o acesso a qualquer sistema operacional, pois senão qualquer um poderia usar uma live CD/DVD ou pendrive de boot e acessar a partição que tem o seu sistema instalado para roubar ou espionar arquivos importantes.
Nenhum comentário:
Postar um comentário