Защита и безопасность Linux систем

[xhacker]

Защита загрузчика паролем

Для того, чтобы не дать злоумышленнику использовать single user mode (режим, в котором можно сменить root пароль), необходимо защитить загрузчик паролем.

Если у Вас Grub

Можно зашифровать пароль в md5 (очень рекомендую), а можно оставить как есть. Рассмотрим пример с шифрованием.

1.) Зайдите в оболочку grub

Код:

alex@alex ~ $ su
Пароль: 
alex alex # grub

2.) Введите md5crypt и пароль, который хотите зашифровать.

Код:

grub> md5crypt

Password:

3.) Скопируйте полученный результат
4.) Откройте /boot/grub/menu.lst

Код:

nano -w /boot/grub/menu.lst

5.) В самое начало файла впишите следующую строку (вместо *** вставьте зашифрованный пароль):

Код:

password --md5 ***

6.) Сохраните файл (нажмите Ctrl+x)

Если у Вас Lilo

В LILO также поддерживается два способа защиты с помощью пароля: общий и для отдельного образа, в обоих случаях пароль хранится в открытом виде.
Общий пароль устанавливается в начале файла конфигурации и относится к каждому загрузочному образу:

Код:

/etc/lilo.conf 

password=changeme
restricted
delay=3

Пароль для отдельного образа устанавливается следующим образом:

Код:

/etc/lilo.conf

 image=/boot/bzImage
      read-only
      password=changeme
      restricted

Если параметр restricted не введен, то пароль будет запрашиваться при каждой загрузке.
Чтобы сохранить новые сведения в файле lilo.conf, нужно запустить /sbin/lilo.

Ограничение доступа к консоли

С помощью файла /etc/securetty можно указать, с каких терминальных устройств (tty) можно входить в систему администратору.
Рекомендуется закомментировать все строки, кроме vc/1 (если у вас devfs), или кроме tty1 (если у вас udev). Благодаря этому суперпользователь сможет входить в систему одновременно только один раз и только с одного терминала.

Код:

/etc/securetty

(для devfs)
vc/1
(для udev)
tty1

Первоисточник: http://www.gentoo.org/doc/ru/securit...ook.xml?full=1

[pluton]

Цитата: Сообщение от xhacker Защита загрузчика паролем

это, конечно, хорошо, но плюс к этому надо запретить загрузку с флешек и дисков. а то загрузятся с лайв-сд и всё
для этого в биосе ставим загрузку с хдд, и пароль на биос. а, если при загрузке есть возможность показа меню загрузки (на некоторых компах для этого надо нажать F1[0-2] ), то придётся ставить пасс на загрузку компа

[DoubleSpace]

Если есть физический доступ к компу-сбросить пароль на bios-вопрос одной минуты. При отсутствии специального, секурного железа-вопрос окончательно не решается

[Тинькофф]

Цитата: Сообщение от pluton это, конечно, хорошо, но плюс к этому надо запретить загрузку с флешек и дисков. а то загрузятся с лайв-сд и всё для этого в биосе ставим загрузку с хдд, и пароль на биос. а, если при загрузке есть возможность показа меню загрузки (на некоторых компах для этого надо нажать F1[0-2] ), то придётся ставить пасс на загрузку компа

А кто мешает разместить все данные на зашифрованном разделе? Все современные релизы Linux поддерживают LUXS, cryptoloop и проч. Ну даже если загрузочный том незашифрован, данные расшифровать будет практически невозможно.

[RomanGA]

А работа с данными на зашифрованном разделе такая же? Не будет тормозов и трудностей? Например если скинуть туда фотографии, а потом захочется их посмотреть?

[0ut]

нет тормазов не будет) разницы на первый взгляд не почуствуешь, все работает прозрачно для пользователя...

[sh_]

single user mode можно вообще отключить. только это не панацея. защита она такая - только в комплексе.

1 этап защитить физически железо. - отдельная комната, вход по пропускам, дизельгенератор на потерю электричекства..
2 этап защитить диск от похищения - шифрованая файловая система, шифрование данных на уровне ядра.

было много публикаций на эту тему. смысл в том что для ядра пишется модуль, реализующий ГОСТ шифование. закрытые ключи хранятся на дискете. при загрузке сервера вставляешь дискету и вперед.

3. собственно защита от взлома - тут se linux и иже с ними

[pa4ka]

Цитата: Сообщение от DoubleSpace Если есть физический доступ к компу-сбросить пароль на bios-вопрос одной минуты. При отсутствии специального, секурного железа-вопрос окончательно не решается

какого-такого секурного железа?
Господа, неужели не достаточно разместить сервер в помещении под замком, снять с него сидиром и отключить в биосе usb, сгенерить пароли и не оставлять их список где попало?

[elijadar]

Цитата: Сообщение от pa4ka какого-такого секурного железа? Господа, неужели не достаточно разместить сервер в помещении под замком, снять с него сидиром и отключить в биосе usb, сгенерить пароли и не оставлять их список где попало?

Секурное железо это прикольная штука. Например, флешка типа 'DiskGO Secure GUARDIAN' от 'EDGE Tech Corp' с апаратной криптованием "...encrypted data is completely erased after eight failed password attempts". А что там говорить о всяких там апаратных генераторах случайных чисел...

[DoubleSpace]

Цитата: Сообщение от pa4ka какого-такого секурного железа?

В данном контексте подразумевалось- на котором нельзя обнулить CMOS легко.Или которое просто не позволяет загрузку с внешних носителей. В частности, попадались мамы с CMOS на микросборке от DALLAS, в которых обнуление отстутствовало как класс. а батарея была внутри.