Sem dúvida, os tempos são de desconfiança em todos. Podemos estar do lado de um invasor e não sabemos como e quando tomaremos um punhal pelas costas. A segurança precisa estar em dia sempre e deixar um computador desprotegido é tragédia na certa.

Poucos sabem que podemos deixar o LILO - LInux LOader mais seguro, apesar de existir boa documentação, muitas vezes deixamos escapar alguns detalhes.

Um detalhe, por exemplo, é que se você passar um simples parâmetro para o LILO Linux single podemos, entrar em modo single user. Este modo é muitas vezes usado para recuperação do sistema (Recovery Mode), pois te oferece um Shell de manutenção e em um pulo estamos na tela de login.

O que fazer para aumentar a segurança no LILO?

Existem alguns passos que podemos seguir para atingir nosso objetivo de deixar o LILO mais seguro, sendo eles:

• Password
• Restricted/Mandatory
• lilo.conf com Permissão 600
• Senha na Bios
• Password

A primeira coisa a fazer, é adicionar uma camada extra, no caso, um password...

Este password é carregado logo após você fazer a seleção da imagem do kernel. Para ativar este recurso, adicionamos uma variável no arquivo "lilo.conf". Este está localizado em /etc/lilo.conf.

Como root, entre com seu editor de texto favorito e localize aonde está a função que faz o carregamento do seu kernel.

Em seguida, abaixo da variável "image = /boot/vmlinuz" adicione a variável "password = SEUPASSWORD".


Está opção, se ativada, juntamente com o password, fará que o LILO solicite a senha, somente se "parâmetros" como Linux single seja passado.

Vai lhe garantir uma segurança a mais, assim, não permitindo o invasor fisicamente invadir sua máquina. Já que o mesmo conseguirá passar parâmetros de inicialização, mas logo em seguida é pedida a senha.


Faz a mesma funcionalidade que a opção "restrited", mas é um pouco mais seguro...

Enquanto a opção "restricted" só é ativada quando passado parâmetros de inicialização para o Kernel, a opção "mandatory" é ativada sempre. Pedindo seu password independente do fator acontecido.

Esta, sem dúvida, é a melhor e mais segura opção para se passar para o LILO. Porém, fique atento a um detalhe muito importante, se usado em um servidor físico ou remoto, e o administrador não ter acesso a esta senha, ao iniciar a máquina, o password será pedido, barrando assim o mesmo de continuar.


NOTA: utilize a opção "restricted" ou "mandatory", e nunca em conjunto.

Permissão ideal para lilo.conf

Normalmente, a permissão 644 é concebido ao arquivo de configuração do LILO, o "lilo.conf". Esta permissão significa que o Dono do arquivo terá permissão de leitura e escrita, o grupo e outros terão permissão de leitura.

Não é a permissão mais correta a utilizar, quando você tem um password exposto, visível para usuários comuns.

O ideal para uma segurança maior, é utilizar a permissão 600, ou seja, somente o dono, que no caso é root, terá a liberdade de ler/escrever no arquivo, barrando assim os "outros" de bisbilhotar.

Como root, vamos executar o comando "chmod" com verbose.

# chmod -v u+rw,g-rwx,o-rwx /etc/lilo.conf
mode of '/etc/lilo.conf' retained as 0600 (rw-------)

Ou, de uma maneira mais prática e rápida:

# chmod -v 600 /etc/lilo.conf
mode of '/etc/lilo.conf' retained as 0600 (rw-------)

Não se esqueça, após ter modificado o LILO, você precisa rodar o /sbin/lilo para ter as novas configurações disponíveis!

# lilo
Warning: LBA32 addressing assumed
Added Linux  *
Added Generic  +
One warning was issued.

Senha na BIOS

Ok, não adianta fazer todo este processo, se sua máquina tem uma brecha braba ainda. O invasor/bisbilhoteiro ao enfrentar estes problemas, poderá entrar com uma live-CD, e conseguir bisbilhotar do mesmo jeito.

Como diz meu pai: porta de ferro, tranca de papel!

Para conseguimos atingir nosso ponto G, vamos barrar o acesso ao "live-cd". Para isto, vamos utilizar uma senha na BIOS, garantindo assim uma segurança física muito maior.

Apesar de ser um método que pode ser burlado facilmente, por pessoas que tem algum conhecimento, resetando a BIOS, retirando a pilha ou em computador mais velho, fazendo o processo com os jumpers.

Garantirá para você uma segurança extra para os menos sábios, veja:

• How to clear an unknown BIOS or CMOS password

Opinião

Fazendo estas poucas configurações, você terá uma privacidade maior, te protegendo dos bisbilhoteiros fisicamente. Mas se retirar o HD do computador, por exemplo, e se conectar a outro, o mesmo terá acesso a tudo.

Para garantir ainda mais a sua segurança, sem dúvida, o ideal seria criptografar todo seu HD, todas partições sem exceções.

E para quebrar uma boa criptografia meu amigo, nem o FBI.