BBS水木清华站∶精华区

发信人: Sinob (水手辛巴达), 信区: Linux        
标  题: LILO的安全配置 
发信站: BBS 水木清华站 (Thu Sep  7 08:44:12 2000) 
 
 
LILO的安全配置 
 
by Sinbad 
09/06/2k 
http://sinbad.2911.net 
 
下面一些参数配置可以避免在启动时用单用户模式获得root shell。 
 
delay=x 
这个数值决定了LILO等待多长时间（以10秒为单位）接受用户输入，然后才启动默认的选 
项。如果不是多系统启动，其值应设为0。 
 
prompt 
有了这个选项，LILO将等待用户的输入，在没有设置timeout的情况下，LILO不会自行启 
动系统。 
 
restricted 
如果用户输入了参数（例如linux single）来启动，这个选项将要求用户输入密码。 
 
password= 
这个选项和restricted一起使用，其值是用户设定的密码。由于是明文存放，所以 
/etc/lilo.conf要设置为仅root可读写。 
 
下面给出一个/etc/lilo.conf的例子： 
 
boot=/dev/hda  
map=/boot/map  
install=/boot/boot.b  
prompt  
timeout=100  
default=linux  
image=/boot/vmlinuz-2.2.12-20  
label=linux  
root=/dev/hda1  
read-only  
restricted  
password=kpAsSb0rv_f  
 
上面的配置有以下功能： 
 
1。以/boot/vmlinuz-2.2.12内核来启动系统，它存放在IDE1硬盘上在MBR之后的第一个分 
区上。 
2。可以正常的远程启动系统，但如果输入“linux single”，LILO将要求输入密码。 
3。如果用参数“linux single”启动系统，timeout选项给出10秒时间接受输入密码。 
 
还需要注意以下步骤： 
 
1。BIOS一定要设置密码保护并且仅从C盘启动。 
2。/etc/lilo.conf设置为不可变，用chattr命令： 
 
   # chattr +i /etc/lilo.conf 
 
   这将会防止lilo.conf无意中或其他原因被修改。如果以后需要改动，必须先去掉不可 
变的标记： 
 
   # chattr -i /etc/lilo.conf 
 
   提示：只有root才能对文件设置不可变的标记。 
 
-- 
我的网站：http://sinbad.2911.net[辛巴德] 关键词：网络安全资料 
 
 
※ 修改:·Sinob 於 Sep  7 08:44:40 修改本文·[FROM:   210.75.222.35] 
※ 来源:·BBS 水木清华站 smth.org·[FROM: 210.75.222.35] 

BBS水木清华站∶精华区