Workshop: Sichere Linux-Workstation

Kernel-Image und lilo.conf schützen

Alternativ können Sie jedes Image auch einzeln absichern. Im folgenden Beispiel erfordert das Laden des Default-Kernel in jedem Fall eine Authentifizierung. Beim Booten des speziell erstellten Maintenance-Kernel verzichtet LILO dagegen auf die Kennworteingabe - es sei denn, Sie geben zusätzliche Parameter an.

(...)
image=/vmlinuz
password=aktuell
(...)
image=/boot/vmlinuz-2.2.19
password=wartung
restricted
(...)

Vergessen Sie nach der Änderung der lilo.conf nicht, zur Übernahme der Einstellungen LILO aufzurufen. Um die im Klartext sichtbaren LILO-Passworte zu schützen, beschränken Sie alle Zugriffsrechte für die LILO-Konfigurationsdatei auf root. Da lilo.conf per Default ohnehin root als Owner und Group hat, genügt dazu in der Regel ein schlichtes chmod 600 /etc/lilo.conf.

Einen zusätzlichen Schutz der Konfigurationsdatei erreichen Sie durch den Befehl

chattr +i /etc/lilo.conf

Das File kann anschließend durch niemanden mehr verändert, umbenannt, gelöscht oder verlinkt werden. Lediglich root ist in der Lage, diesen Zustand bei Bedarf per

chattr -i /etc/lilo.conf

wieder aufzuheben.