You are hereHardening:Linux Boot Loader / Reply to comment

Reply to comment

Hardening:Linux Boot Loader

By Enrix - Posted on 02 December 2010

Questo articolo tratterà di come rafforzare la sicurezza di un boot loader in Linux.Verrà preso in considerazione LILO, ma si può facilmente adattare questo articolo con GRUB.

Analizzando le varie parti di questo articolo e considerando le strategie di attacco e difesa, si sarà in grado di comprendere il livello di sicurezza di questo bootloader.

Difesa

La prima cosa da fare è quello di impedire il boot del sistema da un dispositivo diverso dal disco rigido. Per fare questo devi andare nel BIOS, impostare il boot da disco rigido e impostare una password del BIOS, in modo che nessun altro possa modificare l'impostazione. Assicurarsi che lo chassis sia “lucchettato” in modo che nessuno possa aprirlo per resettare il bios o montare l'hard disk su un PC diverso.

Attacco

Il modo più comune per reimpostare la password del bios è rimuovere fisicamente il computer dalla rete staccando la spina e poi rimuovere la batteria dalla scheda madre per 10 minuti.

Difesa

Secondo passo sarà prevenire la possibilità di inserire dei parametri nel kernel in fase di avvio. Modifica lilo.conf ed inserisci al suo interno il parametro "restricted" con "password =" ". Dopo di che possiamo salvare il tutto con lilo -v -p, ed inserire la password che ci verrà richiesta.

L'opzione -p farà in modo che la password verrà archiviata criptata, non all'interno di lilo.conf ma in /etc/lilo.conf.crc. Se siete paranoici, allora si può sempre rendere lilo.conf immutabile:

#chattr +i /etc/lilo.conf

questo funziona solo su file system ext2/ext3.

Attacco

Per ottenere una shell di root durante l'avvio del sistema è sufficiente scrivere questo comandi in fase di boot:

#linux init=/bin/bash

#mount -o remount, rw /

Dopo di che, cambiare la password:

#passwd

Se lilo.conf è protetto da una password si può avviare il sistema da un CD-Rom, possiamo usare questo trucco: (È necessario montare il filesystem di root utilizzando un livecd):

#mkdir /mnt/root

#mount -t [linux-fs] /dev/[root-partizione]  /mnt/root

Ora dobbiamo utilizzare il comando chroot per settare il nostro filesystem 'root' e poi possiamo modificare la password:

# chroot /mnt/root  /bin/bash

# passwd

Buon divertimento!

Tags

Reply

  • Web page addresses and e-mail addresses turn into links automatically.
  • Allowed HTML tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Lines and paragraphs break automatically.
  • You may use [inline:xx] tags to display uploaded files or images inline.
  • You may insert videos with [video:URL]

More information about formatting options

By submitting this form, you accept the Mollom privacy policy.

Translate in: