Пароли BIOS
Многие современные персональные компьютеры позволяют задавать пароль в BIOS (Basic Input/Output System — базовая система вводавывода). Если компьютер физически не изолирован от других компьютеров, имеет смысл воспользоваться этой возможностью. Но учтите, что на материнской плате может находиться перемычка, предназначенная для очистки BIOS. В таком случае ценность пароля ограничена. Подробнее о паролях BIOS можно узнать в документации к материнской плате.
Инсталляция Linux и загрузчик LILO
С появлением графических средств инсталляции Linux задача администратора существенно упростилась. Однако удобство зачастую достигается в ущерб безопасности. Прежде чем инсталлировать систему, определите, какие пакеты и службы нужны. Не запускайте службы, работать с которыми не предполагается. Например, если доступ к электронной почте осуществляется по протоколу POP или IMAP, тогда не нужна программа sendmail, которая вызывается при каждом запуске системы. После инсталляции системы службы можно отключить вручную, как описано на с. 44, но выбор инсталлируемых пакетов нужно осуществить до начала инсталляции.
В процессе инсталляции Red Hat 7.2 можно включить режим брандмауэра и настроить фильтрацию пакетов, передаваемых через Internetсоединение. Вопросы конфигурирования встроенного брандмауэра рассматриваются в главах 15 и 16.
Настройка загрузчика LILO
Загрузчик LILO (Linux LOader) — это универсальная программа, поддерживающая не только Linux, но и другие операционные системы (DOS, Windows 95/98/NT, различные варианты UNIX). Она не зависит от типа файловой системы и способна управлять загрузкой системы с различных носителей (дискета, жесткий диск, компактдиск и т.д.). Если в качестве операционной системы выбрана Linux, LILO запускает ядро (/boot/vmlinuz или др.). Существуют и другие загрузчики, например GRUB (GRand Unified Bootloader), однако LILO остается наиболее распространенным на платформах Intel. По умолчанию при инсталляции Red Hat конфигурируется загрузчик GRUB, поэтому нужно сделать явный выбор в пользу LILO. V
Будучи вызванным из командной строки (/sbin/lilo), загрузчик LILO читает файл конфигурации /etc/lilo. conf. Информация из этого файла записывается в загрузочный сектор и считывается в процессе загрузки системы. По умолчанию этот файл открыт для чтения. Необходимо сделать его доступным для чтения/записи только суперпользователю. Имеет также смысл сделать файл неизменяемым и неудаляемым, задав с помощью команды chattr флаг i (подробнее об этом рассказывается на с. 95).
Листинг 3.1. Задание прав доступа и атрибутов файла /etc/lilo. conf
chmod 600 /etc/lilo.conf
chattr +i /etc/lilo.conf
В файле /etc/lilo. conf задается множество различных параметров. В частности, можно указать пароль запуска в однопользовательском режиме. Пример файла представлен в листинге 3.2.
Листинг 3.2. Образец файла /etc/lilo. conf
boot/dev/hda
map/boot/map
install/boot/boot.b
prompt
linear
defaultlinux
timeout50
restricted
passwordL3t_m3_ln
image/boot/vmlinuz
labellinux root/dev/hdal readonly image/boot/vmlinuz.test labeltest root/dev/hdal readonly
Обратите внимание на наличие незашифрованного пароля. Вот почему нужны были команды, показанные в листинге 3.1. После модификации файла /etc/lilo. conf обязательно нужно выполнить команду /sbin/lilo, чтобы изменения вступили в силу. В противном случае можно будет загрузиться в однопользовательском режиме, не вводя пароль, и получить доступ к интерпретатору команд с правами суперпользователя. Перевод системы в однопользовательский режим осуществляется с помощью команды linux single в строке приглашения LILO: или boot: (листинг 3.3).
4/04/10 - 
