Boot Seguro LILO

Métodos para tornar o LILO mais seguro.

[ Hits: 3.654 ]

Por: Slackjeff em 11/02/2020 | Blog: https://slackjeff.com.br


Introdução



Sem dúvida, os tempos são de desconfiança em todos. Podemos estar do lado de um invasor e não sabemos como e quando tomaremos um punhal pelas costas. A segurança precisa estar em dia sempre e deixar um computador desprotegido é tragédia na certa.

Poucos sabem que podemos deixar o LILO - LInux LOader mais seguro, apesar de existir boa documentação, muitas vezes deixamos escapar alguns detalhes.

Um detalhe, por exemplo, é que se você passar um simples parâmetro para o LILO Linux single podemos, entrar em modo single user. Este modo é muitas vezes usado para recuperação do sistema (Recovery Mode), pois te oferece um Shell de manutenção e em um pulo estamos na tela de login.

O que fazer para aumentar a segurança no LILO?

Existem alguns passos que podemos seguir para atingir nosso objetivo de deixar o LILO mais seguro, sendo eles:
  • Password
  • Restricted/Mandatory
  • lilo.conf com Permissão 600
  • Senha na Bios
  • Password

A primeira coisa a fazer, é adicionar uma camada extra, no caso, um password...

Este password é carregado logo após você fazer a seleção da imagem do kernel. Para ativar este recurso, adicionamos uma variável no arquivo "lilo.conf". Este está localizado em /etc/lilo.conf.

Como root, entre com seu editor de texto favorito e localize aonde está a função que faz o carregamento do seu kernel.

Em seguida, abaixo da variável "image = /boot/vmlinuz" adicione a variável "password = SEUPASSWORD".

# Linux bootable partition config begins
image = /boot/vmlinuz
password = MeuPassword
root = /dev/sda1
label = Linux
read-only
Restricted

Está opção, se ativada, juntamente com o password, fará que o LILO solicite a senha, somente se "parâmetros" como Linux single seja passado.

Vai lhe garantir uma segurança a mais, assim, não permitindo o invasor fisicamente invadir sua máquina. Já que o mesmo conseguirá passar parâmetros de inicialização, mas logo em seguida é pedida a senha.

# Linux bootable partition config begins
image = /boot/vmlinuz
password = MeuPassword
restricted
root = /dev/sda1
label = Linux
read-only
Mandatory

Faz a mesma funcionalidade que a opção "restrited", mas é um pouco mais seguro...

Enquanto a opção "restricted" só é ativada quando passado parâmetros de inicialização para o Kernel, a opção "mandatory" é ativada sempre. Pedindo seu password independente do fator acontecido.

Esta, sem dúvida, é a melhor e mais segura opção para se passar para o LILO. Porém, fique atento a um detalhe muito importante, se usado em um servidor físico ou remoto, e o administrador não ter acesso a esta senha, ao iniciar a máquina, o password será pedido, barrando assim o mesmo de continuar.

# Linux bootable partition config begins
image = /boot/vmlinuz
password = MeuPassword
mandatory
root = /dev/sda1
label = Linux
read-only

NOTA: utilize a opção "restricted" ou "mandatory", e nunca em conjunto.

Permissão ideal para lilo.conf

Normalmente, a permissão 644 é concebido ao arquivo de configuração do LILO, o "lilo.conf". Esta permissão significa que o Dono do arquivo terá permissão de leitura e escrita, o grupo e outros terão permissão de leitura.

Não é a permissão mais correta a utilizar, quando você tem um password exposto, visível para usuários comuns.

O ideal para uma segurança maior, é utilizar a permissão 600, ou seja, somente o dono, que no caso é root, terá a liberdade de ler/escrever no arquivo, barrando assim os "outros" de bisbilhotar.

Como root, vamos executar o comando "chmod" com verbose.

# chmod -v u+rw,g-rwx,o-rwx /etc/lilo.conf
mode of '/etc/lilo.conf' retained as 0600 (rw-------)

Ou, de uma maneira mais prática e rápida:

# chmod -v 600 /etc/lilo.conf
mode of '/etc/lilo.conf' retained as 0600 (rw-------)

Não se esqueça, após ter modificado o LILO, você precisa rodar o /sbin/lilo para ter as novas configurações disponíveis!

# lilo
Warning: LBA32 addressing assumed
Added Linux  *
Added Generic  +
One warning was issued.


Senha na BIOS

Ok, não adianta fazer todo este processo, se sua máquina tem uma brecha braba ainda. O invasor/bisbilhoteiro ao enfrentar estes problemas, poderá entrar com uma live-CD, e conseguir bisbilhotar do mesmo jeito.

Como diz meu pai: porta de ferro, tranca de papel!

Para conseguimos atingir nosso ponto G, vamos barrar o acesso ao "live-cd". Para isto, vamos utilizar uma senha na BIOS, garantindo assim uma segurança física muito maior.

Apesar de ser um método que pode ser burlado facilmente, por pessoas que tem algum conhecimento, resetando a BIOS, retirando a pilha ou em computador mais velho, fazendo o processo com os jumpers.

Garantirá para você uma segurança extra para os menos sábios, veja:

Opinião

Fazendo estas poucas configurações, você terá uma privacidade maior, te protegendo dos bisbilhoteiros fisicamente. Mas se retirar o HD do computador, por exemplo, e se conectar a outro, o mesmo terá acesso a tudo.

Para garantir ainda mais a sua segurança, sem dúvida, o ideal seria criptografar todo seu HD, todas partições sem exceções.

E para quebrar uma boa criptografia meu amigo, nem o FBI.

   

Páginas do artigo
   1. Introdução
Outros artigos deste autor

Programar em Shell - Script só para os baixinhos

Howto de Compilação com Slackbuilds

Compilação do Kernel Linux para máquinas locais Debian

Crie Seu Próprio Gerenciador de Pacotes do Zero - Parte 1

Como ser um expert em GNU/Linux!

Leitura recomendada

Porque o XFCE é tão bom

Crise de distro!

JIGDO, atualização de uma imagem .iso

Guia de Instalação do Slackware

TinyCore Linux - Introdução e Instalação

  
Comentários
[1] Comentário enviado por cizordj em 20/02/2020 - 22:25h

Se criptografar o HD com LUKS fica melhor ainda. Muitas distribuições oferecem essa opção como parte da instalação.


________________________________________________
O programador tem a mania de achar que tudo é objeto

[2] Comentário enviado por slacktrek em 07/07/2020 - 19:21h

Grande dica! Não sabia que o LILO tinha essas opções, vou trocar meu bootloader!
Criptografei todos os meus slackwares (desktop e notebook com lvm e luks) tem umas duas semanas e hoje, HOJE, descobri no LBRY que pelo menu do GRUB tem como mudar a senha do root da máquina! Instalei meus slackwares com GRUB por dizerem ser mais seguro, quando acaba.... Sacanagem!
Vlw, Mestre Jeff!


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts