Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.2.5. ブートローダーのセキュア化

Linux ブートローダーをパスワードで保護する主な理由は以下のとおりです。
  1. Access to Single User Mode: 攻撃者がシステムを単一ユーザーモードで起動できる場合、それらは root パスワードの入力を求められることなく、root として自動的にログインします
    警告
    /etc/sysconfig/init ファイルの SINGLE パラメーターを編集して、パスワードを使用してシングルユーザーモードへのアクセスを保護することは推奨されていません。攻撃者は、GRUB 2 のカーネルコマンドラインでカスタムの初期コマンド( init= パラメーターを使用して)を指定すると、パスワードをバイパスできます。『Red Hat Enterprise Linux 7 システム管理者のガイド』の「パスワードの実行」の章を記載したように、GRUB 2 ブートローダーをパスワードで保護することが推奨されます。
  2. GRUB 2 コンソールへのアクセスの防止: マシンがブートローダーとして GRUB 2 を使用している場合、攻撃者は GRUB 2 エディターインターフェースを使用して設定を変更したり、cat コマンドを使用して情報を収集できます。
  3. Insecure Operating Systems へのアクセスを防止する - デュアルブートシステムの場合、攻撃者は、アクセス制御やファイルパーミッションを無視する DOS などの起動時にオペレーティングシステムを選択できます。
Red Hat Enterprise Linux 7 には、Intel 64 および AMD64 プラットフォーム上に GRUB 2 ブートローダーが含まれています。GRUB 2 の詳細は、『Red Hat Enterprise Linux 7 システム管理者のガイド』の「GRUB 2 ブートローダーの使用」の章を参照してください

4.2.5.1. 対話型起動の無効化

起動シーケンスの最初に I キーを押すと、システムを対話的に起動できます。対話型起動中には、各サービスを 1 つずつ起動するよう要求します。ただし、システムへ物理的にアクセスできる攻撃者は、セキュリティー関連のサービスを無効にし、システムへのアクセスを得ることが可能になります。
ユーザーが対話的にシステムを起動しないようにするには、root/etc/sysconfig/init ファイルで PROMPT パラメーターを無効にします。
PROMPT=no

このページには機械翻訳が使用されている場合があります (詳細はこちら)。