Бруй В.В., Карлов С.В. - Linux-сервер - пошаговые инструкции - инсталляции и настройки (1077321), страница 16
Текст из файла (страница 16)
К числутаких параметров относятся:• параметр timeout=00 – определяет длительность интервала времени в десятых долях секунды втечение которого LILO ожидает пользовательского ввода (например, команды на переход в однопользовательский режим, выбор загружаемого образа ядра и т. п.);• опция restricted – указывает на необходимость запроса пароля только, если параметры определены в командной строке (например, linux single). Эту опцию следует использовать только совместно спараметром password;• опция password=Secretnoe$l0vo – указывает на необходимость запроса пароля при загрузкеобраза ядра (при использовании опции restricted пароль будет запрашиваться только при введении параметров загрузки в командной строке, обычная загрузка будет осуществляться без ввода пароля).Для установки опций безопасности выполните следующий алгоритм.Шаг 1Отредактируйте файл /etc/lilo.conf, добавив или изменив строки, в соответствии с рекомендациями:boot=/dev/hdaprompttimeout=00lba32default=linux-2.4.18# ASPLinuximage=/boot/vmlinuz-2.4.18-5aspinitrd=/boot/initrd.2.4.18-5asp.imgrestrictedpassword= Secretnoe$l0volabel=ASPLinux-2.4.18root=/dev/hda8read-onlyШаг 2Поскольку конфигурационный файл /etc/lilo.conf теперь содержит незашифрованный пароль,доступ к нему следует разрешить только пользователю root:[root@drwalbr /]# chmod 600 /etc/lilo.confДля того, чтобы сделать файл неизменяемым, наберите:[root@drwalbr /]# chattr +i /etc/lilo.confЗАМЕЧАНИЕ В случае необходимости переконфигурирования LILO не забудьте снять атрибут запретаизменений с файла /etc/lilo.conf с помощью команды:[root@drwalbr /]# chattr -i /etc/lilo.conf .Глава 3.
Общие мероприятия по обеспечению безопасности сервера45Шаг 3Для того, чтобы изменения вступили в силу, выполните:[root@drwalbr /]# /sbin/lilo –vLILO version 21.7-3, Copyright (C) 1992-1998 Werner AlmesbergerLinux Real Mode Interface library Copyright (C) 1998 Josh VanderhoofDevelopment beyond version 21 Copyright (C) 1999-2001 John CoffmanReleased 29-Mar-2001 and compiled at 06:06:43 on Jun 4 2002.Reading boot sector from /dev/hdaMerging with /boot/boot.bBoot image: /boot/vmlinuz-2.4.18-5aspMapping RAM disk /boot/initrd.2.4.18-5asp.imgAdded ASPLinux-2.4.18 */boot/boot.0300 exists - no backup copy made.Writing boot sector.GRUB и файл /boot/grub/grub.confGRUB очень важна, так как это первая выполняемая программа при запуске компьютера, и мы должны обеспечить безукоризненную ее работу во избежание всевозможных сбоев.
В заданной по умолчаниюинсталляции она уже достаточно хорошо защищена. Мы постараемся объяснить, как сделан ее конфигурационный файл. На наш взгляд, по сравнению с LILO, GRUB более удобен при конфигурации. Далее приводятся значения заданного по умолчанию конфигурационного файла GRUB и рекомендуемые методы защиты. Полужирный текст – части конфигурационного файла /boot/grub/grub.conf, которые должныбыть откорректированы в соответствии с вашими потребностями:default 0splashimage=/boot/grub/splash.xpm.gztimeout 0password --md5 $1$RFEae/$MxXN6ck3laZMTy8ajwINk0title ASPLinux-2.4.18root (hd0,0)kernel /boot/vmlinuz-2.4.18-5asp ro root=/dev/sda5initrd /boot/initrd.2.4.18-5asp.imgbootОпция defaultиспользуется в конфигурационном файле для определения заданной по умолчанию загрузки.
Значение "0"обозначает заданный по умолчанию вариант. Для сервера, где Linux – единственная операционная система,заданная по умолчанию загрузка будет и единственной. Другие варианты не задаем.Опция timeoutиспользуется для определения времени ожидания в секундах перед тем, как автоматически загрузить заданный по умолчанию вариант загрузки.Опция splashimageопределяет графическое изображение, отображаемое при загрузке GRUB.
Решайте сами – сохранять этотпараметр или удалять. Если вы хотите удалить его, то удалите и вышеупомянутую строку со сжатым изображением.Опция passwordиспользуется для сообщения GRUB о необходимости ввода пароля и отвергает любое интерактивное управление, пока вы не нажимаете клавишу <p> и не введете правильный пароль. Параметр -md5 сообщаетGRUB, что в качестве пароля требуется значение в формате MD5. Если он пропущен, GRUB предполагает,что указанный пароль – обычный текст.
При установке ASPLinux загрузчик GRUB устанавливается без опции password и, следовательно, строки, содержащей пароль в зашифрованном виде, в вашем конфигурационном файле не будет. Для установки пароля выполните:[root@drwalbr /]# grub-md5-cryptPassword:SecretnoeSlovo$1$RFEae/$MxXN6ck3laZMTy8ajwINk0В результате выполнения команды пароль автоматически будет занесен в конфигурационный файл.После использования команды новый пароль уже записан в конфигурационном файле.Опция titleиспользуется для определения имени варианта загружаемой системы. Она очень полезна при использованиинескольких операционных систем.
В данном случае введите любую строку.Опция root46Часть 1. Инсталляция операционной системы Linux на сервереодин из самых важных параметров GRUB. Используется для определения текущего корневого устройствапри загрузке операционной системы. Как видите, определение параметра несколько необычно. Приведемобъяснение его значений:• параметр hd0 означает использование всего диска;• параметр hd0, 0 обозначает использование раздела диска (или загрузочного сектора раздела приинсталляции GRUB).Обозначение hd здесь не обозначает диски SCSI и IDE, хотя для них используется аналогичная символика.Опция kernelиспользуется для загрузки начального изображения (т.
е. ядра). Параметр для этой опции – просто путь, гдеGRUB должен найти нужное изображение ядра для загрузки. Дополнительные строки – для сообщения того,что изображение ядра расположено в разделе sda5, и что необходимо загружать его в режиме доступатолько для чтения, из соображений безопасности.Опция initrdявляется дополнительной и появляется в конфигурационном файле GRUB, если есть SCSI-устройства. Длякомпьютера с IDE жестким диском эта опция не нужна. Параметр просто сообщает программе GRUB, гденаходится начальный образ виртуального диска.Файл /etc/servicesНомера портов, которые используются службами, определены в RFC 1700. Файл /etc/servicesдает возможность серверу и клиентским программам устанавливать соответствие между названиями служби номерами (портов).
Только суперпользователю root должно быть разрешено вносить изменения в этотфайл. Для этого установите запрет на внесение изменений в файл /etc/services:[root@drwalbr /]# chattr +i /etc/servicesФайл /etc/securityЭтот файл позволяет определить, на каких консолях (tty и vc устройствах) разрешена регистрациясуперпользователя root.
Файл /etc/security читается программой, отвечающей за регистрацию в системе (/bin/login). Формат файла – список разрешенных tty и vc.Отключите все ненужные tty и vc устройства. Настоятельно рекомендуется разрешить регистрациюсуперпользователя root только с двух консолей, для этого в файле /etc/security закомментируйте илиудалите лишние строки:vc/1#vc/2#vc/3#vc/4#vc/5#vc/6#vc/7#vc/8#vc/9#vc/10#vc/11tty1#tty2#tty3#tty4#tty5#tty6#tty7#tty8#tty9#tty10#tty10Специальные учетные записиУдалите все создаваемые при установке и неиспользуемые при работе сервера учетные записи. Этуоперацию следует выполнять после каждого обновления или инсталляции программного обеспечения.
Про-Глава 3. Общие мероприятия по обеспечению безопасности сервера47грамма установки ASPLinux устанавливает дополнительные учетные записи операционной системы, дажеесли соответствующие им службы не установлены на сервере. Наличие неиспользуемых учетных записейупрощает несанкционированный доступ к системе.Шаг 1Удаление учетной записи пользователя из системы осуществляется с помощью команды вида:[root@drwalbr /]# userdel usernameСведения о пользователях, имеющих учетные записи на системе, содержатся в файле /etc/passwd:root:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/adm:/sbin/nologinlp:x:4:7:lp:/var/spool/lpd:/sbin/nologinsync:x:5:0:sync:/sbin:/bin/syncshutdown:x:6:0:shutdown:/sbin:/sbin/shutdownhalt:x:7:0:halt:/sbin:/sbin/haltmail:x:8:12:mail:/var/spool/mail:/sbin/nologinnews:x:9:13:news:/var/spool/news:uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologinoperator:x:11:0:operator:/root:/sbin/nologingames:x:12:100:games:/usr/games:/sbin/nologingopher:x:13:30:gopher:/var/gopher:/sbin/nologinftp:x:14:50:FTP User:/var/ftp:/sbin/nologinnobody:x:99:99:Nobody:/:/sbin/nologinvcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologinrpm:x:37:37::/var/lib/rpm:/bin/bashmailnull:x:47:47::/var/spool/mqueue:/dev/nullНеобходимо удалить пользователей, учетные записи которых выделены жирным шрифтом.Шаг 2Удаление группы пользователей осуществляется с помощью команды:[root@drwalbr /]# groupdel groupnameСведения о группах пользователей содержатся в файле /etc/group:root:x:0:rootbin:x:1:root,bin,daemondaemon:x:2:root,bin,daemonsys:x:3:root,bin,admadm:x:4:root,adm,daemontty:x:5:disk:x:6:rootlp:x:7:daemon,lpmem:x:8:kmem:x:9:wheel:x:10:rootmail:x:12:mailnews:x:13:newsuucp:x:14:uucpman:x:15:games:x:20:gopher:x:30:dip:x:40:ftp:x:50:lock:x:54:nobody:x:99:users:x:100:floppy:x:19:vcsa:x:69:utmp:x:22:rpm:x:37:mailnull:x:47:48Часть 1.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
