Menu Close

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.2.5. ブートローダーのセキュア化

Linux ブートローダーをパスワードで保護する主な理由は、以下のとおりです。
  1. シングルユーザーモードへのアクセスの防止 — 攻撃者がシステムをシングルユーザーモードで起動できる場合、root パスワードの入力を求められることなく、root として自動的にログインします。
    警告
    /etc/sysconfig/init ファイルの SINGLE パラメーターを編集し、パスワードを使用してシングルユーザーモードへのアクセスを保護することはお勧めしません。攻撃者は、GRUB 2 のカーネルコマンドラインでカスタム初期コマンド (init= パラメーターを使用) を指定することで、パスワードを回避することができます。Red Hat Enterprise Linux 7 System Administrator's Guide の Protecting GRUB 2 with a Password の章に記載されているように、GRUB 2 ブートローダーをパスワードで保護することが推奨されています。
  2. GRUB 2 コンソールへのアクセスの防止 — マシンがブートローダーとして GRUB 2 を使用している場合、攻撃者は GRUB 2 エディターインターフェイスを使用して、その設定を変更したり、cat コマンドを使用して情報を収集したりすることができます。
  3. 安全でないオペレーティングシステムへのアクセスの防止 — デュアルブートシステムの場合、攻撃者は、たとえば DOS のような、アクセス制御およびファイルパーミッションを無視するオペレーティングシステムを起動時に選択することができます。
Red Hat Enterprise Linux 7 には、Intel 64 および AMD64 プラットフォームに GRUB 2 ブートローダーが含まれています。GRUB 2 の詳細については、Red Hat Enterprise Linux 7 System Administrator's Guide の Working With the GRUB 2 Boot Loader の章を参照してください。

4.2.5.1. インタラクティブスタートアップの無効化

起動シーケンスの最初に I キーを押すと、インタラクティブにシステムを起動することができます。インタラクティブな起動中に、システムは各サービスを 1 つずつ起動するように要求します。しかし、これでは、お客様のシステムに物理的にアクセスした攻撃者が、セキュリティー関連サービスを無効化し、システムにアクセスすることができる可能性があります。
ユーザーが root として、インタラクティブにシステムを起動しないようにするには、/etc/sysconfig/init ファイルの PROMPT パラメーターを無効化します。
PROMPT=no