Jak zakazat parametr v LILO
Milan Kerslager
milan.kerslager na spsselib.hiedu.cz
Neděle Květen 14 00:20:44 CEST 2000
On Tue, 9 May 2000, Michal Ludvig wrote:
> Tak jsem se v novem LinuxJournalu docetl, ze je mozne dat v promptu
> LILO: dat kernelu parametr init=/bin/sh a on po nabootovani spusti misto
S nevydanym nadsenim o tom psal i D. Docekal na http://svet.namodro.cz.
Tvrdil tam, ze je Linux nebezpecny, protoze na 1 reboot muze byt kdokoliv
rootem (kdezto u NT to je asi na 4 rebooty). Inu - security by obscurity
zase jednou pripsalo bod........
> /sbin/init prave ten shell. To se mi dost malo libi - pokud je k nejakemu
> compu fyzicky pristup, tak se timto postupem daji delat celkem zajimave
> veci bez toho, aby to bylo na prvni pohled patrne (holt byl nejakej
> vypadek, to je toho...).
man lilo.conf
Zde se doctete o parametru password a restricted. Password je jasny a
restricted znamena, ze heslo bude vyzadovano pouze v pripade, ze nejakej
moula (treba ja) bude chtit vlozit nejaky parametr (krome jmena moznosti
zobrazene po <TAB>). Na /etc/lilo.conf budete muset aplikovat restriktivni
prava, protoze heslo se zadava jako plaintext (chmod 600 /etc/lilo.conf).
> Takze je otazka, jak tomu zabranit? Existuje nejaky std. postup, nebo
> musim modifikovat kernel, nebo radsi LILO? Argument, ze k tomu teda nema
> byt fyzicky pristup je sice fajn, nicmene mnohde nepouzitelny...
Hmm, pokud ma nekdo fyzicky pristup k masine, tak stejne nepomuze nic ze
SW reseni. Muzete nastavit bootovani C: A: a heslo do Biosu, ale kdyz
nekdo resne CMOSku pomoci sroubovaku, tak je to vsechno stejne naprd.
Z tohoto duvodu se servery zamykaji do serverovny.
--
Milan Kerslager
E-mail: milan.kerslager na spsselib.hiedu.cz
WWW: http://www.spsselib.hiedu.cz/~kerslage/
Další informace o konferenci Linux