4.2. BIOS und Bootloader Sicherheit
Passwort-Schutz für das BIOS (oder BIOS-Äquivalent) und den Bootloader kann unbefugte Benutzer, die physikalischen Zugang zu Ihren Systemen haben, davon abhalten, externe Medien zu booten oder sich durch den Einzelbenutzermodus als root anzumelden. Die Sicherheitsmaßnahmen, die man durchführen sollte, um vor solchen Attacken geschützt zu sein, hängt zum einen von den Informationen ab, die auf der Workstation gespeichert sind und zum anderen vom Aufstellungsort des Rechners.
Wenn zum Beispiel ein Computer auf einer Messe verwendet wird und keine empfindlichen Daten enthält, ist es nicht unbedingt kritisch, solche Attacken zu verhindern. Wenn jedoch ein Laptop eines Mitarbeiters mit privaten, nicht-passwortgeschützten SSH-Schlüsseln zum Firmennetzwerk auf der gleichen Messe unbeaufsichtigt gelassen wird, kann dies zu einem bedeutenden Sicherheitsbruch führen, der Auswirkungen auf das gesamte Unternehmen haben kann.
Wenn auf der anderen Seite sich die Workstation an einem Ort befindet, zu dem nur befugte oder vertrauenswürdige Personen Zugang haben, ist das Sichern des BIOS oder des Bootloaders nicht unbedingt von Nöten.
4.2.1. BIOS-Passwörter
Die folgenden sind die zwei Hauptgründe für den Schutz des BIOS eines Computers durch Passwörter [1]:
Änderungen an den BIOS-Einstellungen verhindern — Hat ein Eindringling Zugang zum BIOS, kann dieser den Bootvorgang von einer Diskette oder einer CD-ROM festlegen. Dies ermöglicht dann in den Rettungsmodus oder Einzelbenutzermodus zu gelangen und von hier aus schädliche Programme in das System zu pflanzen oder empfindliche Daten zu kopieren.
System-Boot verhindern — Einige BIOS erlauben Ihnen, den Bootvorgang selbst mit einem Passwort zu schützen. Ist dies aktiviert, muss ein Passwort eingegeben werden, bevor das BIOS den Bootloader startet.
Da die Methoden für das Einstellen von BIOS-Passwörtern sich von Computerhersteller zu Computerhersteller unterscheiden, lesen Sie bitte das Handbuch zu Ihrem Computer für weitere Informationen.
Sollten Sie das BIOS-Passwort vergessen, kann es oft entweder mit Brücken im Motherboard oder durch das Entfernen der CMOS-Batterie zurückgesetzt werden. Daher ist es sinnvoll, wenn möglich, das Computergehäuse abzuschließen. Bevor Sie jedoch diesen Vorgang versuchen, sollten Sie das Handbuch zu Ihrem Computer oder Motherboard lesen.
4.2.1.1. Sicherung von nicht-x86-Plattformen
Andere Plattformen verwenden verschiedene Programme zum Ausführen geringfügiger Aufgaben, die mit denen des BIOS auf einem x86-System äquivalent sind. So verwenden zum Beispiel Intel® Itanium™-basierte Computer die Extensible Firmware Interface (EFI) Shell.
Anweisungen für den Passwortschutz von BIOS-ähnlichen Programmen auf anderen Architekturen finden Sie in den Anweisungen vom Hersteller.
4.2.2. Bootloader-Passwörter
Hier sind die Hauptgründe, einen Linux-Bootloader mit einem Passwort zu schützen:
Zugang zum Einzelbenutzermodus verhindern — Wenn Eindringlinge in den Einzelbenutzermodus booten können, werden diese automatisch zu root-Benutzern ohne nach dem root-Passwort gefragt zu werden.
Zugang zur GRUB-Konsole verhindern — Wenn der Computer GRUB als Bootloader verwendet, kann ein Angreifer die GRUB-Editor-Schnittstelle verwenden, um die Konfiguration zu ändern oder Informationen mithilfe des cat Befehls zu sammeln.
Zugang zu unsicheren Betriebssystemen verhindern — Haben Sie ein Dual-Boot-System, kann ein Angreifer während des Bootens ein Betriebssystem wie zum Beispiel DOS auswählen, das Zugangskontrollen und Dateiberechtigungen ignoriert.
Mit Red Hat Enterprise Linux wird der GRUB Bootloader für die x86 Plattform ausgeliefert. Detaillierte Informationen zu GRUB finden Sie unter dem Titel der GRUB Bootloader im Red Hat Enterprise Linux Referenzhandbuch.
4.2.2.1. Passwortschutz für GRUB
Sie können GRUB so konfigurieren, dass die ersten beiden, in Abschnitt 4.2.2 angesprochenen, Probleme adressiert werden, indem Sie eine Passwort-Direktive zur Konfigurationsdatei hinzufügen. Hierfür legen Sie erst ein Passwort fest, öffnen dann einen Shell-Prompt, melden sich als root an und geben folgendes ein:
/sbin/grub-md5-crypt |
Wenn Sie aufgefordert werden, geben Sie das GRUB-Passwort ein und drücken dann
Bearbeiten Sie dann die GRUB-Konfigurationsdatei /boot/grub/grub.conf. Öffnen Sie die Datei und fügen Sie die nachfolgende Zeile unterhalb der timeout Zeile im Hauptabschnitt des Dokumentes ein:
password --md5 <password-hash> |
Ersetzen Sie <password-hash> mit dem Wert, der von /sbin/grub-md5-crypt[2] ausgegeben wurde.
Wenn Sie das nächste Mal Ihr System booten, müssen Sie, wenn Sie im GRUB-Menü auf den Editor oder die Befehlszeilen-Schnittstelle zugreifen wollen, erst
Diese Lösung hält jedoch Angreifer nicht davon ab, in ein unsicheres Betriebssystem in einer Dual-Boot-Umgebung zu booten. Hierfür müssen Sie einen anderen Teil der Datei /boot/grub/grub.conf bearbeiten.
Suchen Sie die Zeile title des unsicheren Betriebssystems und fügen Sie direkt darunter eine Zeile mit dem Befehl lock ein.
Für ein DOS-System sollte die Zeile ähnlich wie folgt beginnen:
title DOS lock |
 | Achtung |
|---|---|
Sie müssen die Zeile password im Hauptabschnitt der Datei /boot/grub/grub.conf haben, damit dies funktioniert. Ansonsten kann ein Angreifer auf den GRUB-Editor zugreifen und die lock-Zeile entfernen. |
Wenn Sie ein anderes Passwort für einen bestimmten Kernel oder ein Betriebssystem festlegen möchten, fügen Sie eine lock Zeile gefolgt von einer Passwortzeile in den Abschnitt ein.
Jeder Abschnitt, den Sie mit einem einzigartigen Passwort schützen möchten, sollte mit Zeilen ähnlich dem folgenden Beispiel beginnen:
title DOS lock password --md5 <password-hash> |