← Voltar

Boot Seguro LILO

Autor: Jefferson 'Slackjeff' Rocha
Atualização: 28/03/2019

INÍCIO

Sem dúvida os tempos são de desconfiança em todos. Podemos estar do lado de um invasor e não sabemos como e quando tomaremos um punhal pelas costas. A segurança precisa estar em dia sempre e deixar um computador desprotegido é trágedia na certa.

Poucos sabem que podemos deixar o LILO - LInux LOader mais seguro, apesar de existir boa documentação, muitas vezes deixamos escapar alguns detalhes.

Um detalhe por exemplo é que se você passar um simples parâmetro para o LILO linux single podemos entrar em modo single user. Este modo é muitas vezes usado para recuperação do sistema (Recovery Mode), pois te oferece um shell de manutenção e em um pulo estamos na tela de login.

O que fazer para aumentar a Segurança no lilo?

Existem algums passos que podemos seguir para atingir nosso objetivo de deixar o lilo mais seguro, sendo eles:

Password

A primeira coisa a se fazer é adicionar uma camada extra, no caso um password...

Este password é carregado logo após você fazer a seleção da Imagem do kernel, para ativar este recurso adicionamos uma variável no arquivo lilo.conf. Este está localizado em /etc/lilo.conf

Como root, entre com seu editor de texto favorito e localize aonde está a função que faz o carregamento do seu Kernel.

Em seguida abaixo da variável image = /boot/vmlinuz adicione a variável password = SEUPASSWORD.

# Linux bootable partition config begins
image = /boot/vmlinuz
password = MeuPassword
root = /dev/sda1
label = Linux
read-only           

Restricted

Está opção se ativada, juntamente com o password fará que o lilo solicite a senha, somente se 'parâmetros' como Linux single seja passado.

Vai lhe garantir uma segurança a mais, assim não permitindo o invasor fisicamente invadir sua máquina. Já que o mesmo conseguirá passar parâmetros de inicialização, mas logo em seguida é pedido a senha.

# Linux bootable partition config begins
image = /boot/vmlinuz
password = MeuPassword
restricted
root = /dev/sda1
label = Linux
read-only

Mandatory

Faz a mesma funcionalidade que a opção restrited, mas é um pouco mais seguro...

Enquanto a opção restricted só é ativada quando passado parâmetros de inicialização para o kernel, a opção mandatory é ativada sempre. Pedindo seu password independente do fator acontecido.

Está sem dúvida é a melhor e mais segura opção para se passar para o lilo. Porém fique atento a um detalhe muito importante. Se usado em um servidor fisico ou remoto e o administrador não ter acesso a está senha, ao iniciar a máquina o password será pedido.
Barrando assim o mesmo de continuar.

# Linux bootable partition config begins
image = /boot/vmlinuz
password = MeuPassword
mandatory
root = /dev/sda1
label = Linux
read-only

Utilize a opção restricted ou mandatory, e nunca em conjunto.

Permissão ideal para lilo.conf

Normalmente a permissão 644 é concebido ao arquivo de configuração do lilo, o lilo.conf. Está permissão significa que o Dono do arquivo terá permissão leitura e escrita, o grupo e outros terão permissão de leitura.

Não é a permissão mais correta a se utilizar quando você tem um password exposto, visível para usuários comuns.

O ideal para uma segurança maior é utilizar a permissão 600, ou seja, somente o dono que no caso é root terá a liberdade de ler/escrever no arquivo.
Barrando assim os "outros" de bisbilhotar.

Como root vamos executar o comando chmod com verbose.

# chmod -v u+rw,g-rwx,o-rwx /etc/lilo.conf
mode of '/etc/lilo.conf' retained as 0600 (rw-------)

Ou de uma maneira mais prática e rápida

# chmod -v 600 /etc/lilo.conf
mode of '/etc/lilo.conf' retained as 0600 (rw-------)

Não se esqueça

Após ter modificado o lilo, você precisa rodar o /sbin/lilo para ter as novas configurações disponivel!

# lilo
Warning: LBA32 addressing assumed
Added Linux  *
Added Generic  +
One warning was issued.

Senha na Bios

Ok, não adianta fazer todo este processo se sua máquina tem uma brecha braba ainda. O invasor/bisbilhoteiro ao enfrentar estes problemas poderá entrar com uma live-cd, e conseguir bisbilhotar do mesmo jeito.

Como diz meu pai, porta de ferro, tranca de papel!

Para conseguimos atingir nosso ponto G, vamos barrar o acesso ao live-cd. Para isto vamos utilizar uma senha na bios. Garantindo assim uma segurança fisica muito maior.

Apesar de ser um método que pode ser burlado facilmente, por pessoas que tem algum conhecimento, resentando a Bios retirando a pilha ou em computador mais velho fazendo o processo com os jumpers.
Garantirá para você uma segurança extra para os menos sábios.
Veja:
https://www.computerhope.com/issues/ch000235.htm

Opinião

Fazendo estas poucas configurações você terá uma privacidade maior, te protegendo dos bisbilhoteiros fisicamente. Mas se retirar o HD do computador por exemplo, e se conectar a outro o mesmo terá acesso a tudo.

Para garantir ainda mais a sua segurança, sem dúvida o ideal seria criptografar todo seu HD, todas partições sem excessões.

E para quebrar uma boa criptografia meu amigo, nem o FBI.