Product SiteDocumentation Site

4.4. LILO または GRUB パスワードを設定する

Anybody can easily get a root-shell and change your passwords by entering
<name-of-your-bootimage> init=/bin/sh
ブートプロンプトに 「<name-of-your-bootimage> init=/bin/sh」と 入力することによってだれでも簡単に root のシェルを得てあなたのパスワードを 変更することができます。パスワードを変更してシステムを再起動すれば、 その人は root で無制限にアクセスでき、そのシステムでしたいことが何でも できます。これが行われたあとではあなたは自分のシステムに root でアクセス できないでしょう。というのもあなたには root のパスワードがわからないからです。
これがおこらないようにするには、ブートローダにパスワードを設定するべきです。 グローバルパスワードか、あるイメージに対するパスワードかを選択できます。
For LILO you need to edit the config file /etc/lilo.conf and add a password and restricted line as in the example below.
image=/boot/2.2.14-vmlinuz
   label=Linux
   read-only
   password=hackme
   restricted
Then, make sure that the configuration file is not world readable to prevent local users from reading the password. When done, rerun lilo. Omitting the restricted line causes lilo to always prompt for a password, regardless of whether LILO was passed parameters. The default permissions for /etc/lilo.conf grant read and write permissions to root, and enable read-only access for lilo.conf's group, root.
LILO のかわりに GRUB を使っていれば、/boot/grub/menu.lst を 編集して次の 2 行を先頭に加えてください。(もちろん「hackme」はお望みの パスワードに置きかえてください。) こうするとユーザがブートアイテムを変更 できなくなります。「timeout 3」は grub がデフォルトのイメージをブートする までの待ち時間を 3 秒に指定します。
  timeout 3
  password hackme
パスワードの完全性をさらに強化するためには、パスワードを暗号化された形で 保存することができます。grub-md5-crypt というユーティリティは grub の 暗号化パスワードアルゴリズム (md5) と互換性のあるハッシュされたパスワードを 生成します。grub で md5 形式のパスワードを使うことを指定するには、以下の ディレクティブを使ってください:
  timeout 3
  password --md5 $1$bw0ez$tljnxxKLfMzmnDVaQWgjP0
grub に md5 認証手続きを行うよう指示するために --md5 が追加されています。 与えられているパスワードは hackme の md5 で暗号化されたパスワードです。 平文バージョンを選ぶのより md5 パスワードを使うほうがよりよいです。 grub のパスワードについては grub-doc パッケージにより多くの情報があります。