Jak zakazat parametr v LILO

[Milan Kerslager]

On Tue, 9 May 2000, Michal Ludvig wrote:

> Tak jsem se v novem LinuxJournalu docetl, ze je mozne dat v promptu
> LILO: dat kernelu parametr init=/bin/sh a on po nabootovani spusti misto

S nevydanym nadsenim o tom psal i D. Docekal na http://svet.namodro.cz.
Tvrdil tam, ze je Linux nebezpecny, protoze na 1 reboot muze byt kdokoliv
rootem (kdezto u NT to je asi na 4 rebooty). Inu - security by obscurity
zase jednou pripsalo bod........

> /sbin/init prave ten shell. To se mi dost malo libi - pokud je k nejakemu
> compu fyzicky pristup, tak se timto postupem daji delat celkem zajimave
> veci bez toho, aby to bylo na prvni pohled patrne (holt byl nejakej
> vypadek, to je toho...). 

man lilo.conf

Zde se doctete o parametru password a restricted. Password je jasny a
restricted znamena, ze heslo bude vyzadovano pouze v pripade, ze nejakej
moula (treba ja) bude chtit vlozit nejaky parametr (krome jmena moznosti
zobrazene po <TAB>). Na /etc/lilo.conf budete muset aplikovat restriktivni
prava, protoze heslo se zadava jako plaintext (chmod 600 /etc/lilo.conf).

> Takze je otazka, jak tomu zabranit? Existuje nejaky std. postup, nebo
> musim modifikovat kernel, nebo radsi LILO? Argument, ze k tomu teda nema
> byt fyzicky pristup je sice fajn, nicmene mnohde nepouzitelny...

Hmm, pokud ma nekdo fyzicky pristup k masine, tak stejne nepomuze nic ze 
SW reseni. Muzete nastavit bootovani C: A: a heslo do Biosu, ale kdyz
nekdo resne CMOSku pomoci sroubovaku, tak je to vsechno stejne naprd.

Z tohoto duvodu se servery zamykaji do serverovny.

--
                        Milan Kerslager
                        E-mail: milan.kerslager na spsselib.hiedu.cz
                        WWW:    http://www.spsselib.hiedu.cz/~kerslage/