使用口令保护BIOS和引导装载程序,可以防止未授权用户通过各种可移动的介质来引导启动,通过但用户模式来获得权限。但是防御这种攻击则需要系统信息的保密程度和取决于主机的位置。
BIOS口令:防止对BIOS设置的改变,如果入侵者进入了BIOS,就可以将其设置为介质形式的引导方式。这样便使不怀好意的人进入单用户模式,从而允许他们在系统上运行恶意程序和盗取保密文件。
防止系统被引导,某些BIOS允许你使用口令来保护引导程序。当激活时,攻击者在BIOS启动引导装载程序前就不得不输入口令。
引导装载程序口令:使用口令来保护linux引导装载程序的主要原因
1,防止进入但用户模式,如果攻击者能够进入但用户模式,那么就可以在不被要求输入跟口令的情况下成为跟用户(因为攻击者完全有权限重新生成一个新的根用户)
2,防止进入GRUB控制台,如果机器使用GRUB作为引导装载程序,那么攻击者可以使用GRUB编辑界面来改变它的配置或使用cat命令来收集信息。
3,防止进入非安全的操作系统,如果它原本是一个双引导的操作系统,那么攻击者可以在引导时选择操作系统,例如DOS ,它会忽略存取控制和文件的权限。
通过口令来保护GRUB:
GRUB可以通过在配置文件中添加一个口令来解决前面列举的两个问题。首先要使用一个什么口令,打开shell,登陆根用户,输入
/sbin/grub-md5-crypt
在提示时,输入GRUB口令,然后回车。会返回一个口令的MD5散列。
下一步编辑GRUB配置文件/boot/grub/grub.conf。打开文件,在timeout行下添加以下行。
password --md5 <MD5的返回散列>
在下一次系统引导的时候,如果不首先按p建和GRUB口令,GRUB菜单就不允许进入编辑器或者命令行界面。但是这个方法并不能阻止攻击者在双引导环境中引导不安全的操作系统。要解决这个问题,必须要编辑/boot/grub/grub.conf文件中的另一个部分。
找到title,添加一行lock例如DOS系统,应该和是
title DOS
lock
注意:/boot/grub/grub.conf文件的主体必须有password,才能使这种方法正常运行,否则攻击者可以进入GRUB编辑器界面,然后删除lock。
当然要为某一个特定的内核或者操作系统创建不同的口令,在那个实例中添加一个lock,然后紧跟这那个MD5的散列比如:
title DOS
lock
password --md5 <MD5的返回散列>
