Sem dúvida os tempos são de desconfiança em todos. Podemos estar do lado de um invasor e não sabemos como e quando tomaremos um punhal pelas costas. A segurança precisa estar em dia sempre e deixar um computador desprotegido é trágedia na certa.
Poucos sabem que podemos deixar o LILO - LInux LOader mais seguro, apesar de existir boa documentação, muitas vezes deixamos escapar alguns detalhes.
Um detalhe por exemplo é que se você passar um simples parâmetro para o LILO linux single podemos entrar em modo single user. Este modo é muitas vezes usado para recuperação do sistema (Recovery Mode), pois te oferece um shell de manutenção e em um pulo estamos na tela de login.
Existem algums passos que podemos seguir para atingir nosso objetivo de deixar o lilo mais seguro, sendo eles:
A primeira coisa a se fazer é adicionar uma camada extra, no caso um password...
Este password é carregado logo após você fazer a seleção da Imagem do kernel, para ativar este recurso adicionamos uma variável no arquivo lilo.conf. Este está localizado em /etc/lilo.conf
Como root, entre com seu editor de texto favorito e localize aonde está a função que faz o carregamento do seu Kernel.
Em seguida abaixo da variável image = /boot/vmlinuz adicione a variável password = SEUPASSWORD.
# Linux bootable partition config begins image = /boot/vmlinuz password = MeuPassword root = /dev/sda1 label = Linux read-only
Está opção se ativada, juntamente com o password fará que o lilo solicite a senha, somente se 'parâmetros' como Linux single seja passado.
Vai lhe garantir uma segurança a mais, assim não permitindo o invasor fisicamente invadir sua máquina. Já que o mesmo conseguirá passar parâmetros de inicialização, mas logo em seguida é pedido a senha.
# Linux bootable partition config begins image = /boot/vmlinuz password = MeuPassword restricted root = /dev/sda1 label = Linux read-only
Faz a mesma funcionalidade que a opção restrited, mas é um pouco mais seguro...
Enquanto a opção restricted só é ativada quando passado parâmetros de inicialização para o kernel, a opção mandatory é ativada sempre. Pedindo seu password independente do fator acontecido.
Está sem dúvida é a melhor e mais segura opção para se passar para o lilo.
Porém fique atento a um detalhe muito importante. Se usado em um servidor
fisico ou remoto e o administrador não ter acesso a está senha, ao iniciar a
máquina o password será pedido.
Barrando assim o mesmo de continuar.
# Linux bootable partition config begins image = /boot/vmlinuz password = MeuPassword mandatory root = /dev/sda1 label = Linux read-only
Utilize a opção restricted ou mandatory, e nunca em conjunto.
Normalmente a permissão 644 é concebido ao arquivo de configuração do lilo, o lilo.conf. Está permissão significa que o Dono do arquivo terá permissão leitura e escrita, o grupo e outros terão permissão de leitura.
Não é a permissão mais correta a se utilizar quando você tem um password exposto, visível para usuários comuns.
O ideal para uma segurança maior é utilizar a permissão 600, ou seja, somente
o dono que no caso é root terá a liberdade de ler/escrever no arquivo.
Barrando assim os "outros" de bisbilhotar.
Como root vamos executar o comando chmod com verbose.
# chmod -v u+rw,g-rwx,o-rwx /etc/lilo.conf mode of '/etc/lilo.conf' retained as 0600 (rw-------)
Ou de uma maneira mais prática e rápida
# chmod -v 600 /etc/lilo.conf mode of '/etc/lilo.conf' retained as 0600 (rw-------)
Após ter modificado o lilo, você precisa rodar o /sbin/lilo para ter as novas configurações disponivel!
# lilo Warning: LBA32 addressing assumed Added Linux * Added Generic + One warning was issued.
Ok, não adianta fazer todo este processo se sua máquina tem uma brecha braba ainda. O invasor/bisbilhoteiro ao enfrentar estes problemas poderá entrar com uma live-cd, e conseguir bisbilhotar do mesmo jeito.
Como diz meu pai, porta de ferro, tranca de papel!
Para conseguimos atingir nosso ponto G, vamos barrar o acesso ao live-cd. Para isto vamos utilizar uma senha na bios. Garantindo assim uma segurança fisica muito maior.
Apesar de ser um método que pode ser burlado facilmente, por pessoas que tem
algum conhecimento, resentando a Bios retirando a pilha ou em computador mais
velho fazendo o processo com os jumpers.
Garantirá para você uma segurança extra para os menos sábios.
Veja:
https://www.computerhope.com/issues/ch000235.htm
Fazendo estas poucas configurações você terá uma privacidade maior, te protegendo dos bisbilhoteiros fisicamente. Mas se retirar o HD do computador por exemplo, e se conectar a outro o mesmo terá acesso a tudo.
Para garantir ainda mais a sua segurança, sem dúvida o ideal seria criptografar todo seu HD, todas partições sem excessões.
E para quebrar uma boa criptografia meu amigo, nem o FBI.