Linux: Bootvorgang gegen lokale Angriffe schützen
Jeder mit dem Internet verbundene Computer ist ein potentielles Angriffsziel. Sei es durch gezielte oder ungezielte Attacken. Annähernd ebenso wichtig, wie der Schutz gegen Angriffe über das Netzwerk ist aber auch der Schutz gegen Angriffe, bei denen der Angreifer physikalischen Zugriff auf den Computer hat. Insbesondere Besitzer von Notebooks sollten sich auch hierüber Gedanken machen, denn diese tragbaren Geräte werden naturgemäß häufig mitgenommen und eventuell auch mal in vermeintlich sicherer Umgebung stehengelassen. Gegen lokale Angriffe während des Bootvorgangs helfen die folgenden Hinweise.
Der Bootloader
Um den Bootloader abzusichern, muss sichergestellt werden, dass potentielle Angreifer keine Parameter an ihn übergeben können um beispielsweise root-Rechte zu erlangen. Für die beiden bekanntesten Bootlader kann dies wie folgt erreicht werden: LILO: In der LILO-Konfigurationsdatei lilo.conf muss der Parameter prompt durch password ersetzt werden. Grub: In der Datei grub.conf sollten die Parameter hiddenmenu, default 0 und password gesetzt sein. Hierdurch wird verhindert, dass Unbefugte die Booteinstellungen verhindern. Sind mehrere Betriebssystem installiert, sollte hiddenmenu weggelassen werden, da hierdurch der Auswahldialog, welches OS gebootet werden soll, nicht angezeigt wird.Der Bootvorgang
Für einen passwortgeschützten Single-User-Modus muss folgende Zeile in die Datei /etc/inittab eingetragen werden:sp:S:respawn:/sbin/suloginUm zu verhindern, dass das System per Strg-Alt-Entf neugestartet werden kann, muss in der Datei /etc/inittab durch Voranstellen einer Raute (#) die Zeile auskommentiert werden, in der "ctrlaltdel" steht. Beispiel:
#ca::ctrlaltdel:/sbin/shutdown -t5 -rf now
Trackbacks
Keine Trackbacks
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt