next up previous contents
Next: Mentés készítése Up: Bevezetés Previous: Milyen hardvert vásároljunk?   Contents

Problémák boot-olás közben

Előre leszögezném, hogy minden számítógép feltörhető, ha fizikailag (esetleg console service-on keresztül VAXon ;) hozzáférhetünk a konzolhoz. Képzeljük csak el, mi történne, ha egy rendszergazda valami miatt (amnézia/hosszú szabadság/dadogós billentyűzet/stb.) elfelejti a jelszavát, és innentől a rendszernek annyi: nem lehet karbantartani, konfigurálni, mentést készíteni, sőt rossz esetben a rendszert leállítani (shutdown) sem! Éppen ezért igazán jó védelem nincs a konzol előtt ülő rosszindulatú hacker ellen, legfeljebb kicsit keresztbe tehetünk neki, hogy lassabban érjen célhoz...

Biztonsági szempontból meggondolandó, hogy a gépben a telepítés után is legyen-e floppy vagy CD meghajtó, ugyanis egy rendszerlemezről boot-olt kontrol programmal vagy oprendszerrel (pl. linux rescue disk) root jogokkal mountolhatóvá válnak a szamítógép diszkjei. Ez ellen jó megoldás a floppy kiszerelése vagy a boot sequence átírása a BIOS-ban, hogy a rendszer ne próbáljon floppyról vagy CD-ről bármit is elindítani boot-oláskor. Ha a gép könnyen szétszerelhető vagy a BIOS nincs jelszóval védve, akkor ez persze semmit nem ér. A BIOS jelszó sem igazi megoldás, mivel a legtöbb BIOS-nak van default password-je, amit nem nehéz megszerezni...

Egy másik probléma, hogy a lilo segítségével megadhatunk bizonyos paramétereket. Ezt kihasználva könnyű pl. root shell-hez jutni, vagy nem megengedett programokat indíttatni a rendszerrel boot után. (pl. LILO boot: linux 1 vagy LILO boot: linux init=/bin/bash) Védhetjük a PCket BIOS jelszóval az illetéktelen boot-olás ellen is, de a biztos módszer, ha az /etc/lilo.conf file-ban helyezünk el egy password=bootolaskor_hasznalt_jelszo sort. (Persze ebben az esetben célszerű (és kötelező is) a /etc/lilo.conf-ról levenni az other és group olvasási/írási jogokat.) Ezt a jelszót kell begépelnünk, mielőtt a lilo bármit is végrehajtana. Egyesek ezt a problémát a lilo lecserélésével oldják meg, de erre nincs szükség. Nem is ajánlott, hiszen az új boot manager nem biztos, hogy forráskódban rendelkezésre áll, és ismerjük minden (esetleg rejtett?) funkcióját. A futó Linuxot is illik megvédeni az illetéktelen leállításoktól. Ezt a /etc/shutdown.allow file segítségével kezelhetjük.


next up previous contents
Next: Mentés készítése Up: Bevezetés Previous: Milyen hardvert vásároljunk?   Contents

1999-12-21