Skip to content

Linux: Bootvorgang gegen lokale Angriffe schützen

Jeder mit dem Internet verbundene Computer ist ein potentielles Angriffsziel. Sei es durch gezielte oder ungezielte Attacken. Annähernd ebenso wichtig, wie der Schutz gegen Angriffe über das Netzwerk ist aber auch der Schutz gegen Angriffe, bei denen der Angreifer physikalischen Zugriff auf den Computer hat. Insbesondere Besitzer von Notebooks sollten sich auch hierüber Gedanken machen, denn diese tragbaren Geräte werden naturgemäß häufig mitgenommen und eventuell auch mal in vermeintlich sicherer Umgebung stehengelassen. Gegen lokale Angriffe während des Bootvorgangs helfen die folgenden Hinweise.

Der Bootloader

Um den Bootloader abzusichern, muss sichergestellt werden, dass potentielle Angreifer keine Parameter an ihn übergeben können um beispielsweise root-Rechte zu erlangen. Für die beiden bekanntesten Bootlader kann dies wie folgt erreicht werden: LILO: In der LILO-Konfigurationsdatei lilo.conf muss der Parameter prompt durch password ersetzt werden. Grub: In der Datei grub.conf sollten die Parameter hiddenmenu, default 0 und password gesetzt sein. Hierdurch wird verhindert, dass Unbefugte die Booteinstellungen verhindern. Sind mehrere Betriebssystem installiert, sollte hiddenmenu weggelassen werden, da hierdurch der Auswahldialog, welches OS gebootet werden soll, nicht angezeigt wird.

Der Bootvorgang

Für einen passwortgeschützten Single-User-Modus muss folgende Zeile in die Datei /etc/inittab eingetragen werden:
sp:S:respawn:/sbin/sulogin
Um zu verhindern, dass das System per Strg-Alt-Entf neugestartet werden kann, muss in der Datei /etc/inittab durch Voranstellen einer Raute (#) die Zeile auskommentiert werden, in der "ctrlaltdel" steht. Beispiel:
#ca::ctrlaltdel:/sbin/shutdown -t5 -rf now 

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Formular-Optionen
tweetbackcheck