Product SiteDocumentation Site

4.4. Ein Passwort für LILO oder GRUB einstellen

Jeder kann sehr einfach eine Root-Shell auf Ihrem System bekommen, indem er einfach
<name-of-your-bootimage> init=/bin/sh
am Bootprompt eingibt. Nachdem die Passwörter geändert und das System neu gestartet wurde, hat die Person uneingeschränkten Root-Zugang und kann nach Belieben alles auf Ihrem System machen. Nach dieser Prozedur haben Sie keinen Root-Zugang mehr zu Ihrem System, weil Sie das Root-Passwort nicht kennen.
Um sicher zu stellen, dass dies nicht passieren kann, sollten Sie den Boot-Loader mit einem Passwort schützen. Sie können zwischen einem globalen Passwort und Passwörtern für bestimmte Images wählen.
Für LILO müssen Sie die Konfigurationsdatei /etc/lilo.conf bearbeiten und eine password- und restricted-Zeile, wie im folgenden Beispiel, einfügen:
  image=/boot/2.2.14-vmlinuz
     label=Linux
     read-only
     password=hackmich
     restricted
Stellen Sie danach sicher, dass die Konfigurationsdatei nicht für alle lesbar ist, um zu verhindern, dass lokale Benutzer das Passwort lesen können. Haben Sie dies getan, rufen Sie lilo auf. Wenn Sie die restricted-Zeile weglassen, wird LILO immer nach dem Passwort fragen, egal ob LILO Parameter übergeben wurden oder nicht. Die Standard-Zugriffsrechte auf /etc/lilo.conf erlauben Root das Lesen und Schreiben und der Gruppe von lilo.conf, ebenfalls Root, das Lesen.
Wenn Sie GRUB anstelle von LILO verwenden, bearbeiten Sie /boot/grub/menu.lst und fügen Sie die folgenden zwei Zeilen am Anfang ein (dabei ersetzen Sie natürlich hackmich mit dem vorgesehenen Passwort). Dies verhindert, dass Benutzer die Booteinträge verändern können. timeout 3 legt eine Wartedauer von 3 Sekunden fest, bevor Grub den Standard-Eintrag bootet.
  timeout 3
  password hackmich
Um die Integrität Ihres Passwortes zusätzlich abzusichern, können Sie Ihr Passwort verschlüsselt ablegen. Das Dienstprogramm grub-md5-crypt erzeugt ein gehashtes Passwort, das mit GRUBs Verschlüsselungsalgorithmus (MD5) kompatibel ist. Um Grub mitzuteilen, dass ein Passwort im MD5-Format verwendet wird, benutzen Sie die folgende Anweisung:
  timeout 3
  password --md5 $1$bw0ez$tljnxxKLfMzmnDVaQWgjP0
Der Parameter --md5 wurde hinzugefügt, um bei Grub einen MD5-Authentifizierungsprozess zu erzwingen. Das angegebene Passwort ist die mit MD5 verschlüsselte Version von »hackmich«. MD5-Passwörter sind Klartext-Passwörtern vorzuziehen. Weitere Informationen über Grub-Passwörter können Sie im Paket grub-doc finden.