Опция root определяет текущее корневое устройство при загрузке системы. Параметры (hd0,0)указывают на фиксированный машинный носитель (магнитный диск) и раздел на нем. Опция kernel используется для загрузки ядра. Ее параметр указывает полный путь к файлу, который является ядром. Опция initrd сообщает, где находится образ виртуального диска, и имеет значения только на компьютерах со SCSI–дисками.
Выбираем строку kernel и опять вводим команду e. После этого в конец строки после пробела можно добавить ключевое слово singleили цифру 1, указав на необходимость загрузки системы в однопользовательском режиме. Далее нажимаем <Enter>, попадаем в предыдущее меню и вводим команду b для загрузки.
Если загрузка не удалась, следует попробовать после слова single и пробела ввести метку и опцию ядра init=/bin/bash, указывая на необходимость загрузки командного интерпретатора. После его загрузки следует повторить команды, ранее перечисленные для LILO.
Для того чтобы не позволить пользователю, присутствующему при загрузке системы, стать ее администратором, рекомендуется отредактировать конфигурационные файлы загрузчиков, в том числе предусматривая установку дополнительных паролей, которые будут запрашиваться при попытке пользователя на этапе загрузки перейти в интерактивный режим.
В наши планы не входит рассмотрение устройства и функционирования загрузчиков. Достаточно сказать, что критичные настройки безопасности расположены в конфигурационных файлах lilo.conf, grub.conf и др. Они традиционно представляют собой строки, содержащие разнообразные параметры и их значения. К параметрам, обеспечивающим безопасность загрузки, относятся следующие:
· prompt– включает ввод приглашения при загрузке без ожидания каких-либо нажатий клавиш. Если не предполагается выбирать одну из нескольких загружаемых систем, само приглашение будет совершенно лишней любезностью;
· timeout=50 – время ожидания 5 сек. Из тех же соображений тайм–аут можно приравнять к нулю;
· passwd=12345.
В файле /etc/lilo.conf дополнительный пароль на интерактивную загрузку хранится в открытом виде, поэтому администратору надлежит защитить файл от возможности чтения пользователями.
Если мультисистемная загрузка или тайм-аут в конфигурационных фалах /etc/lilo.conf, /boot/grub/grub.confили /boot/grub /menu.lst не предусмотрены, существует возможность загрузить операционную систему Linux со сменного носителя. Наиболее компактные загрузочные варианты, пригодные для нейтрализации парольной защиты, могут поместиться даже на одну дискету. Вполне естественно, что загружаемая система не запрашивает никаких паролей и в благодарность превращает пользователя, запустившего ее, в администратора. После этого можно монтировать раздел Linux на фиксированном диске и манипулировать парольными файлами и доступной информацией.
Использование прав суперпользователя само по себе потенциально опасно для системы, поэтому администратор в обыденных ситуациях, когда вводить привилегированные команды не требуется, должен использовать права обычного пользователя. Для этого администратор может зарезервировать для себя какую-либо учетную запись либо, в крайнем случае, использовать зарегистрированные имена других пользователей. Изменить права доступа можно с помощью утилиты su(substitute user – подстановка пользователя).
Если администратор вводит команду su с именем зарегистрированного пользователя, он становится им мгновенно, без запроса пароля. Для трансформации root может даже использовать заблокированную учетную запись пользователя – если приказывает суперпользователь, система не обращает внимания на такие пустяки. Для того чтобы повысить свой рейтинг и вновь стать администратором, ему вновь необходимо ввести команду su без аргументов, а после запроса ввести пароль root. В некоторых дистрибутивах возврат прав администратора не сопровождается запросом пароля – это явная угроза безопасности, допущенная программистами. Впрочем, как будет показано ниже, возврат статуса администратора без ввода пароля возможен и иным путем.
Использование таких утилит, как su, находится под пристальным вниманием системы и по умолчанию протоколируется в один из файлов аудита. Исполняемый файл с именем su обычно является объектом атак со стороны вирмейкеров. Если злоумышленнику удается внедрить в систему фальшивую программу su и обеспечить ее запуск при обращении к этой утилите, он может перехватить многие пароли, включая пароль суперпользователя.
Многие авторы указывают на необходимость ликвидации самого имени root или присвоения ему UID с произвольным номером, мотивируя это тем, что нарушитель, внедрившийся в систему в качестве пользователя, будучи не в силах обнаружить сеанс администратора, не станет атаковать систему. Автор не берется судить, насколько повлияет на поведение нарушителя присутствие пользователя с именем root. Но то, что нарушитель якобы не в силах найти в числе работающих пользователей администратора, – сущая фантазия. Любому пользователю доступны утилиты w и id, и с их помощью нетрудно вывести список пользователей и определить, кто из них имеет UID=0.
А вот соображение относительно опасности блокирования учетной записи root, высказанное Д. Бэндлом [3], полностью справедливо. Подлинный администратор системы, использующий другое имя, может оказаться беспомощным в случае блокировки консоли, если блокирующая программа будет запрашивать только пароль. Причина заключается в простоте алгоритма и лености программистов. Первая учетная запись с нулевым третьим полем, найденная в файле /etc/passwd, будет считаться единственной. Примитивная маскировка подлинного администратора окажется более продуманной, если учетная запись root будет перемещена в файле паролей ниже. Опять же, как и в случае с утилитой id, не стоит забывать, что файл /etc/passwd доступен для чтения и анализа любому пользователю.
