要讓加固行動更爲成功,您應該:
- 在系統連接到網絡之前進行加固,以避免***。
- 基於最小權限原則(least-privilege model) 進行配置:系統應該爲特定的功能只賦予其所需要的權限。類似地,用戶應該只擁有他們所需要的最小限度的權限。
配置引導加載器(LILO 或者 Grub),以令其在引導時不被任何用戶干涉;這樣就防止了用戶在引導提示時向內核傳遞參數。除非您需要遠程引導(比如在遠程的數據中心),不然就配置它讓它要求輸入密碼。這是對有可能物理上接觸機器的人的進一步防範;它可以防止某些事件的偶然***,比如使用參數 single
或者 init=/bin/sh
來獲得 root shell,等等。不過,要注意,稍加努力就可以避開此防範機制(比如拆下硬盤驅動器並將其掛載到另一個系統上),除非您對文件系統也進行了加密。
對 LILO 而言,在 lilo.conf 配置文件(通常在 /etc 下)中使用參數 password
替換 prompt
。對於 Grub,相應的參數是 Grub 配置文件(通常在 /boot/grub/grub/conf 下)中的 hiddenmenu
、default 0
和 password
。
在 /etc/inittab 中添加 sp:S:respawn:/sbin/sulogin
,以確保當切換到單用戶模式時運行級的配置要求輸入 root 密碼。
防止用戶使用 Ctrl-Alt-Del 進行重新引導:在 /etc/inittab 中註釋掉 ctrlaltdel
行,禁用 ctrlaltdel
。通過向類似這樣一行( #ca::ctrlaltdel:/sbin/shutdown -t5 -rf now
)添加一個井號(#),您就可以防止那個組合鍵觸發重新引導。