Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux Sicherheitshandbuch - BIOS und Bootloader Sicherheit

4.2. BIOS und Bootloader Sicherheit

Passwort-Schutz f�r das BIOS (oder BIOS-�quivalent) und den Bootloader kann unbefugte Benutzer, die physikalischen Zugang zu Ihren Systemen haben, davon abhalten, externe Medien zu booten oder sich durch den Einzelbenutzermodus als root anzumelden. Die Sicherheitsma�nahmen, die man durchf�hren sollte, um vor solchen Attacken gesch�tzt zu sein, h�ngt zum einen von den Informationen ab, die auf der Workstation gespeichert sind und zum anderen vom Aufstellungsort des Rechners.

Wenn zum Beispiel ein Computer auf einer Messe verwendet wird und keine empfindlichen Daten enth�lt, ist es nicht unbedingt kritisch, solche Attacken zu verhindern. Wenn jedoch ein Laptop eines Mitarbeiters mit privaten, nicht-passwortgesch�tzten SSH-Schl�sseln zum Firmennetzwerk auf der gleichen Messe unbeaufsichtigt gelassen wird, kann dies zu einem bedeutenden Sicherheitsbruch f�hren, der Auswirkungen auf das gesamte Unternehmen haben kann.

Wenn auf der anderen Seite sich die Workstation an einem Ort befindet, zu dem nur befugte oder vertrauensw�rdige Personen Zugang haben, ist das Sichern des BIOS oder des Bootloaders nicht unbedingt von N�ten.

4.2.1. BIOS-Passw�rter

Die folgenden sind die zwei Hauptgr�nde f�r den Schutz des BIOS eines Computers durch Passw�rter [1]:

  1. �nderungen an den BIOS-Einstellungen verhindern — Hat ein Eindringling Zugang zum BIOS, kann dieser den Bootvorgang von einer Diskette oder einer CD-ROM festlegen. Dies erm�glicht dann in den Rettungsmodus oder Einzelbenutzermodus zu gelangen und von hier aus sch�dliche Programme in das System zu pflanzen oder empfindliche Daten zu kopieren.

  2. System-Boot verhindern — Einige BIOS erlauben Ihnen, den Bootvorgang selbst mit einem Passwort zu sch�tzen. Ist dies aktiviert, muss ein Passwort eingegeben werden, bevor das BIOS den Bootloader startet.

Da die Methoden f�r das Einstellen von BIOS-Passw�rtern sich von Computerhersteller zu Computerhersteller unterscheiden, lesen Sie bitte das Handbuch zu Ihrem Computer f�r weitere Informationen.

Sollten Sie das BIOS-Passwort vergessen, kann es oft entweder mit Br�cken im Motherboard oder durch das Entfernen der CMOS-Batterie zur�ckgesetzt werden. Daher ist es sinnvoll, wenn m�glich, das Computergeh�use abzuschlie�en. Bevor Sie jedoch diesen Vorgang versuchen, sollten Sie das Handbuch zu Ihrem Computer oder Motherboard lesen.

4.2.1.1. Sicherung von nicht-x86-Plattformen

Andere Plattformen verwenden verschiedene Programme zum Ausf�hren geringf�giger Aufgaben, die mit denen des BIOS auf einem x86-System �quivalent sind. So verwenden zum Beispiel Intel® Itanium™-basierte Computer die Extensible Firmware Interface (EFI) Shell.

Anweisungen f�r den Passwortschutz von BIOS-�hnlichen Programmen auf anderen Architekturen finden Sie in den Anweisungen vom Hersteller.

4.2.2. Bootloader-Passw�rter

Hier sind die Hauptgr�nde, einen Linux-Bootloader mit einem Passwort zu sch�tzen:

  1. Zugang zum Einzelbenutzermodus verhindern — Wenn Eindringlinge in den Einzelbenutzermodus booten k�nnen, werden diese automatisch zu root-Benutzern ohne nach dem root-Passwort gefragt zu werden.

  2. Zugang zur GRUB-Konsole verhindern — Wenn der Computer GRUB als Bootloader verwendet, kann ein Angreifer die GRUB-Editor-Schnittstelle verwenden, um die Konfiguration zu �ndern oder Informationen mithilfe des cat Befehls zu sammeln.

  3. Zugang zu unsicheren Betriebssystemen verhindern — Haben Sie ein Dual-Boot-System, kann ein Angreifer w�hrend des Bootens ein Betriebssystem wie zum Beispiel DOS ausw�hlen, das Zugangskontrollen und Dateiberechtigungen ignoriert.

Mit Red Hat Enterprise Linux wird der GRUB Bootloader f�r die x86 Plattform ausgeliefert. Detaillierte Informationen zu GRUB finden Sie unter dem Titel der GRUB Bootloader im Red Hat Enterprise Linux Referenzhandbuch.

4.2.2.1. Passwortschutz f�r GRUB

Sie k�nnen GRUB so konfigurieren, dass die ersten beiden, in Abschnitt 4.2.2 angesprochenen, Probleme adressiert werden, indem Sie eine Passwort-Direktive zur Konfigurationsdatei hinzuf�gen. Hierf�r legen Sie erst ein Passwort fest, �ffnen dann einen Shell-Prompt, melden sich als root an und geben folgendes ein:

/sbin/grub-md5-crypt

Wenn Sie aufgefordert werden, geben Sie das GRUB-Passwort ein und dr�cken dann [Enter]. Es wird dann ein MD5-Hash des Passworts ausgegeben.

Bearbeiten Sie dann die GRUB-Konfigurationsdatei /boot/grub/grub.conf. �ffnen Sie die Datei und f�gen Sie die nachfolgende Zeile unterhalb der timeout Zeile im Hauptabschnitt des Dokumentes ein:

password --md5 <password-hash>

Ersetzen Sie <password-hash> mit dem Wert, der von /sbin/grub-md5-crypt[2] ausgegeben wurde.

Wenn Sie das n�chste Mal Ihr System booten, m�ssen Sie, wenn Sie im GRUB-Men� auf den Editor oder die Befehlszeilen-Schnittstelle zugreifen wollen, erst [p] dr�cken und dann das GRUB-Passwort eingeben.

Diese L�sung h�lt jedoch Angreifer nicht davon ab, in ein unsicheres Betriebssystem in einer Dual-Boot-Umgebung zu booten. Hierf�r m�ssen Sie einen anderen Teil der Datei /boot/grub/grub.conf bearbeiten.

Suchen Sie die Zeile title des unsicheren Betriebssystems und f�gen Sie direkt darunter eine Zeile mit dem Befehl lock ein.

F�r ein DOS-System sollte die Zeile �hnlich wie folgt beginnen:

title DOS
lock

WarnungAchtung
 

Sie m�ssen die Zeile password im Hauptabschnitt der Datei /boot/grub/grub.conf haben, damit dies funktioniert. Ansonsten kann ein Angreifer auf den GRUB-Editor zugreifen und die lock-Zeile entfernen.

Wenn Sie ein anderes Passwort f�r einen bestimmten Kernel oder ein Betriebssystem festlegen m�chten, f�gen Sie eine lock Zeile gefolgt von einer Passwortzeile in den Abschnitt ein.

Jeder Abschnitt, den Sie mit einem einzigartigen Passwort sch�tzen m�chten, sollte mit Zeilen �hnlich dem folgenden Beispiel beginnen:

title DOS
lock
password --md5 <password-hash>

Fu�noten

[1]

Da sich das System-BIOS von Hersteller zu Hersteller unterscheidet, unterst�tzen u.U. einige den Passwortschutz beider Typen, w�hrend andere vielleicht nur einen Typ und nicht den anderen unterst�tzen.

[2]

GRUB akzeptiert auch Klartext-Passw�rter, es wird jedoch empfohlen, dass Sie die md5-Version verwenden, da /boot/grub/grub.conf standardm��ig allgemeine Leseberechtigungen besitzt.

 
 
  Published under the terms of the GNU General Public License Design by Interspire