Tweet
O lilo - gerênciador de boot configurado de forma segura
Autor:Gerhard Mourani
Modificações: N.D.A
O LILO é o carregador de boot mais comumente usado para Linux. Ele gerencia o
processo de boot e pode fazer boot de imagens de kernel do Linux a partir de discos
flexíveis, discos rígidos e até mesmo agir como um gerenciador de boot para outros
sistemas operacionais. O LILO é muito importante no Sistema Linux e por esta razão
devemos protegê-lo o melhor que pudermos. O arquivo mais importante de configuração do LILO é o arquivo "lilo.conf" que reside sob o diretório "/etc". É com este arquivo que
podemos configurar e melhorar a segurança do nosso programa LILO e do sistema Linux.
A seguir, três opções importantes que melhorarão a segurança do nosso valioso programa
LILO:
· Adição: timeout=00
Esta opção controla quanto tempo (em segundos) o LILO espera por uma
entrada do usuário, antes de fazer o boot com a seleção default. Uma das
exigências do nível de segurança C2, é que este intervalo de tempo seja 0, a
menos que haja dual boot no sistema (boot de mais de um sistema operacional).
· Adição: restricted
Esta opção pede uma senha somente se forem especificados parâmetros na linha
de comando (por exemplo, linux single). A opção "restricted" só pode ser usada
com a opção "password". Certifique-se de vê-la em cada imagem.
· Adição: password=
Esta opção pede uma senha ao usuário ao tentar carregar o sistema Linux no
modo monousuário (single mode). As senhas são sempre sensíveis a maiúsculas
e minúsculas. Também, certifique-se de que o arquivo "/etc/lilo.conf" não mais
seja legível por todo mundo. Do contrário, qualquer usuário poderá ler a senha.
Aquí está um exemplo do arquivo "lilo.conf" para o nosso LILO protegido:
Passo 1
Edite o arquivo lilo.conf (mcedit /etc/lilo.conf) e adicione ou altere as três opções
acima, conforme mostrado:
boot=/dev/hda
map=/boot/map
install=/boot/boot.b
prompt
timeout=00 ¬ adicione esta linha.
password= ¬ adicione esta linha e coloque a sua senha.
image=/boot/vmlinuz-2.4.20
label=linux
root=/dev/hda6
read-only
Passo 2
Já que o arquivo de configuração "/etc/lilo.conf" agora contém senha não
criptografada, ele deve ser lido somente pelo superusuário "root".
[root@deep /]# chmod 600 /etc/lilo.conf (não mais será lido por todos).
Passo 3
Agora, devemos atualizar nosso arquivo de configuração "lilo.conf" para que as
alterações tenham efeito:
[root@deep /]# /sbin/lilo -v (atualiza o arquivo /etc/lilo.conf)
Passo 4
Mais uma medida de segurança que você pode tomar para proteger o arquivo
"lilo.conf", é torná-lo imutável, usando o comando chattr.
· Para tornar o arquivo imutável, simplesmente use o comando:
[root@deep /]# chattr +i /etc/lilo.conf
E isto impedirá quaisquer alterações (acidentais ou não) no arquivo "lilo.conf".
Caso você deseje modificar o arquivo "lilo.conf", você precisará resetar o flag
de imutável:
· Para resetar o flag de imutável, use o comando:
[root@deep /]# chattr -i /etc/lilo.conf
Modificações: N.D.A
O LILO é o carregador de boot mais comumente usado para Linux. Ele gerencia o
processo de boot e pode fazer boot de imagens de kernel do Linux a partir de discos
flexíveis, discos rígidos e até mesmo agir como um gerenciador de boot para outros
sistemas operacionais. O LILO é muito importante no Sistema Linux e por esta razão
devemos protegê-lo o melhor que pudermos. O arquivo mais importante de configuração do LILO é o arquivo "lilo.conf" que reside sob o diretório "/etc". É com este arquivo que
podemos configurar e melhorar a segurança do nosso programa LILO e do sistema Linux.
A seguir, três opções importantes que melhorarão a segurança do nosso valioso programa
LILO:
· Adição: timeout=00
Esta opção controla quanto tempo (em segundos) o LILO espera por uma
entrada do usuário, antes de fazer o boot com a seleção default. Uma das
exigências do nível de segurança C2, é que este intervalo de tempo seja 0, a
menos que haja dual boot no sistema (boot de mais de um sistema operacional).
· Adição: restricted
Esta opção pede uma senha somente se forem especificados parâmetros na linha
de comando (por exemplo, linux single). A opção "restricted" só pode ser usada
com a opção "password". Certifique-se de vê-la em cada imagem.
· Adição: password=
Esta opção pede uma senha ao usuário ao tentar carregar o sistema Linux no
modo monousuário (single mode). As senhas são sempre sensíveis a maiúsculas
e minúsculas. Também, certifique-se de que o arquivo "/etc/lilo.conf" não mais
seja legível por todo mundo. Do contrário, qualquer usuário poderá ler a senha.
Aquí está um exemplo do arquivo "lilo.conf" para o nosso LILO protegido:
Passo 1
Edite o arquivo lilo.conf (mcedit /etc/lilo.conf) e adicione ou altere as três opções
acima, conforme mostrado:
boot=/dev/hda
map=/boot/map
install=/boot/boot.b
prompt
timeout=00 ¬ adicione esta linha.
password= ¬ adicione esta linha e coloque a sua senha.
image=/boot/vmlinuz-2.4.20
label=linux
root=/dev/hda6
read-only
Passo 2
Já que o arquivo de configuração "/etc/lilo.conf" agora contém senha não
criptografada, ele deve ser lido somente pelo superusuário "root".
[root@deep /]# chmod 600 /etc/lilo.conf (não mais será lido por todos).
Passo 3
Agora, devemos atualizar nosso arquivo de configuração "lilo.conf" para que as
alterações tenham efeito:
[root@deep /]# /sbin/lilo -v (atualiza o arquivo /etc/lilo.conf)
Passo 4
Mais uma medida de segurança que você pode tomar para proteger o arquivo
"lilo.conf", é torná-lo imutável, usando o comando chattr.
· Para tornar o arquivo imutável, simplesmente use o comando:
[root@deep /]# chattr +i /etc/lilo.conf
E isto impedirá quaisquer alterações (acidentais ou não) no arquivo "lilo.conf".
Caso você deseje modificar o arquivo "lilo.conf", você precisará resetar o flag
de imutável:
· Para resetar o flag de imutável, use o comando:
[root@deep /]# chattr -i /etc/lilo.conf