Boot mais seguro no LILO

Jefferson 'Slackjeff' Carneiro
03/09/2020


Sem dúvida os tempos são de desconfiança em todos. Podemos estar do lado de um invasor e não sabemos como e quando tomaremos um punhal pelas costas. A segurança precisa estar em dia sempre e deixar um computador desprotegido é trágedia na certa.

Poucos sabem que podemos deixar o LILO - LInux LOader mais seguro, apesar de existir boa documentação, muitas vezes deixamos escapar alguns detalhes.

Um detalhe por exemplo é que se você passar um simples parâmetro para o LILO linux single podemos entrar em modo single user. Este modo é muitas vezes usado para recuperação do sistema (Recovery Mode), pois te oferece um shell de manutenção e em um pulo estamos na tela de login.

O que fazer para aumentar a Segurança no lilo? Existem algums passos que podemos seguir para atingir nosso objetivo de deixar o lilo mais seguro, sendo eles:

PASSWORD

A primeira coisa a se fazer é adicionar uma camada extra, no caso um password...

Este password é carregado logo após você fazer a seleção da Imagem do kernel, para ativar este recurso adicionamos uma variável no arquivo lilo.conf. Este está localizado em /etc/lilo.conf Como root, entre com seu editor de texto favorito e localize aonde está a função que faz o carregamento do seu Kernel.

Em seguida abaixo da variável image = /boot/vmlinuz adicione a variável password = SEUPASSWORD.

  # Linux bootable partition config begins
  image = /boot/vmlinuz
  password = MeuPassword
  root = /dev/sda1
  label = Linux
  read-only           
  Restricted

Está opção se ativada, juntamente com o password fará que o lilo solicite a senha, somente se 'parâmetros' como Linux single seja passado. Vai lhe garantir uma segurança a mais, assim não permitindo o invasor fisicamente invadir sua máquina. Já que o mesmo conseguirá passar parâmetros de inicialização, mas logo em seguida é pedido a senha.

  # Linux bootable partition config begins
  image = /boot/vmlinuz
  password = MeuPassword
  restricted
  root = /dev/sda1
  label = Linux
  read-only
  Mandatory

Faz a mesma funcionalidade que a opção restrited, mas é um pouco mais seguro... Enquanto a opção restricted só é ativada quando passado parâmetros de inicialização para o kernel, a opção mandatory é ativada sempre. Pedindo seu password independente do fator acontecido.

Está sem dúvida é a melhor e mais segura opção para se passar para o lilo. Porém fique atento a um detalhe muito importante. Se usado em um servidor fisico ou remoto e o administrador não ter acesso a está senha, ao iniciar a máquina o password será pedido. Barrando assim o mesmo de continuar.

  # Linux bootable partition config begins
  image = /boot/vmlinuz
  password = MeuPassword
  mandatory
  root = /dev/sda1
  label = Linux
  read-only

Utilize a opção restricted ou mandatory, e nunca em conjunto. Permissão ideal para lilo.conf Normalmente a permissão 644 é concebido ao arquivo de configuração do lilo, o lilo.conf. Está permissão significa que o Dono do arquivo terá permissão leitura e escrita, o grupo e outros terão permissão de leitura.

Não é a permissão mais correta a se utilizar quando você tem um password exposto, visível para usuários comuns. O ideal para uma segurança maior é utilizar a permissão 600, ou seja, somente o dono que no caso é root terá a liberdade de ler/escrever no arquivo. Barrando assim os "outros" de bisbilhotar.

Como root vamos executar o comando chmod com verbose.

# chmod -v u+rw,g-rwx,o-rwx /etc/lilo.conf
mode of '/etc/lilo.conf' retained as 0600 (rw-------)

Ou de uma maneira mais prática e rápida

# chmod -v 600 /etc/lilo.conf
mode of '/etc/lilo.conf' retained as 0600 (rw-------)

Não se esqueça. Após ter modificado o lilo, você precisa rodar o /sbin/lilo para ter as novas configurações disponivel!

  # lilo
  Warning: LBA32 addressing assumed
  Added Linux  *
  Added Generic  +
  One warning was issued.

Senha na Bios

Ok, não adianta fazer todo este processo se sua máquina tem uma brecha braba ainda. O invasor/bisbilhoteiro ao enfrentar estes problemas poderá entrar com uma live-cd, e conseguir bisbilhotar do mesmo jeito.

Como diz meu pai, porta de ferro, tranca de papel!

Para conseguimos atingir nosso ponto G, vamos barrar o acesso ao live-cd. Para isto vamos utilizar uma senha na bios. Garantindo assim uma segurança fisica muito maior.

Apesar de ser um método que pode ser burlado facilmente, por pessoas que tem algum conhecimento, resentando a Bios retirando a pilha ou em computador mais velho fazendo o processo com os jumpers. Garantirá para você uma segurança extra para os menos sábios.

Veja: https://www.computerhope.com/issues/ch000235.htm

OPINIÃO

Fazendo estas poucas configurações você terá uma privacidade maior, te protegendo dos bisbilhoteiros fisicamente. Mas se retirar o HD do computador por exemplo, e se conectar a outro o mesmo terá acesso a tudo. Para garantir ainda mais a sua segurança, sem dúvida o ideal seria criptografar todo seu HD, todas partições sem excessões. E para quebrar uma boa criptografia meu amigo, nem o FBI.