4.2. Sicurezza del BIOS e del Boot Loader

L'uso della password come protezione per il BIOS (o equivalente BIOS) e il Boot Loader, aiutano a prevenire l'accesso a utenti non autorizzati, ed eseguire un avvio usando mezzi mobili oppure ottenendo privilegi root tramite la modalità di utente singolo. Le misure di sicurezza da adottare per proteggersi da tali attacchi, dipendono sia dalla importanza delle informazioni che la workstation possiede, e sia dalla posizione della macchina.

Per esempio, se una macchina non contiene informazioni importanti, può non essere necessario prevenire tali attacchi. Tuttavia, se un computer portatile di un impiegato con chiavi SSH non cifrate e private per la rete corporativa, viene lasciato incustodito, esso rappresenta un potenziale rischio con ripercussioni ramificate all'interno dell'azienda alla quale l'impiegato appartiene.

Al contrario, se una workstation è posizionata in un luogo dove solo gli utenti autorizzati o fidati hanno accesso, allora non è necessario rendere sicuri il BIOS oppure il boot loader.

4.2.1. Le password del BIOS

Di seguito vengono riportate le ragioni per le quali viene richiesto l'uso delle password per garantire la sicurezza del BIOS di un computer [1]:

  1. Prevenire i cambiamenti alle impostazioni del BIOS — Se un aggressore ha accesso al BIOS, egli sarà in grado d'impostarlo in modo tale da poter eseguire un avvio da dischetto o da CD-ROM. Ciò rende possibile l'accesso da parte dell'aggressore nella modalità rescue oppure utente singolo, permettendo così di copiare dati importanti oppure di inserire nel sistema programmi contenenti dei virus.

  2. Prevenire l'avvio del sistema — Alcuni BIOS vi permettono di utilizzare una password per la protezioine del processo di avvio. Quando attivata, un aggressore è forzato ad inserire una password prima che il BIOS possa lanciare il boot loader.

A causa della diversa metodologia d'impostazione della password del BIOS a seconda del produttore, per istruzioni specifiche vi consigliamo di consultate il manuale del vostro computer.

Se dimenticate la password del BIOS, essa puo essere azzerata sia con i jumper sulla scheda madre, oppure scollegando la batteria CMOS. Per questa ragione, è sempre consigliabile bloccare fisicamente l'accesso al vostro computer. Tuttavia, vi consigliamo di consultare il manuale del vostro computer o la scheda madre, prima di disconnettere la batteria CMOS.

4.2.1.1. Rendere sicure le piattaforme non-x86

Altre piattaforme usano programmi diversi per effettuare compiti di basso livello quasi equivalenti a quelli del BIOS sui sistemi x86. Per esempio, i computer basati su Intel® Itanium™ usano la shell Extensible Firmware Interface (EFI).

Per istruzioni sulle password che proteggono i programmi BIOS-like su altre architetture, consultare le istruzioni fornite dal rivenditore.

4.2.2. Le password del boot loader

Le seguenti rappresentano i motivi fondamentali per i quali è consigliato l'uso di una password per la protezione del boot loader di Linux:

  1. Prevenire l'accesso alla modalità utente singolo — Se un aggressore può accedere alla modalità utente singolo, egli diventa un utente root, senza che gli venga richiesta una password root.

  2. Prevenire l'accesso alla console GRUB — Se la macchina usa GRUB come boot loader, un aggressore sarà in grado di usare l'interfaccia editor di GRUB, per cambiare la sua configurazione, o per raccogliere informazioni usando il comando cat.

  3. Prevenire l'accesso a sistemi operativi non sicuri — Se è un sistema di tipo dual-boot, un aggerssore può selezionare al momento dell'avvio un sistema operativo, come ad esempio DOS, il quale ignora i controlli e i permessi dei file.

Con Red Hat Enterprise Linux è presente un tipo di boot loader per la piattaforma x86, GRUB. Per informazioni dettagliate su questo boot loader, consultate il capitolo Boot Loader GRUB nella Red Hat Enterprise Linux Reference Guide.

4.2.2.1. Protezione di GRUB usando una password

Potete configurare GRUB in modo tale da risolvere i primi due problemi riportati nella Sezione 4.2.2 aggiungendo semplicemente una direttiva password al suo file di configurazione. Per fare ciò, scegliete una password, aprite poi un prompt della shell, effettuate un log come un utente root, e digitate:

/sbin/grub-md5-crypt

Quando richiesto, inserite la password di GRUB e fate clic su [Invio]. Successivamente verrà ritornato un MD5 cifrato della password.

Modificate quindi il file di configurazione di GRUB /boot/grub/grub.conf. Aprite il file e sotto la riga timeout nella sezione principale del documento, aggiungete la seguente riga:

password --md5 <password-hash>

Sostituire <password-hash> con il valore ritornato da /sbin/grub-md5-crypt[2].

La prossima volta che avviate il sistema, il menu di GRUB non vi permetterà di accedere all'editor o interfaccia di comando, senza premere prima [p] seguito dalla password di GRUB.

Sfortunatamente, questa soluzione non impedisce ad un aggressore di effettuare un avvio in un sistema operativo non sicuro in un ambiente dual boot. Per questo, è necessario modificare una parte diversa del file /boot/grub/grub.conf.

Cercate la riga title del sistema operativo non sicuro, e aggiungete una riga lock al di sotto.

Per un sistema DOS, la sezione dovrebbe essere simile a quanto segue:

title DOS
lock

AttenzioneAvviso
 

Una riga password deve essere presente nella sezione principale del file /boot/grub/grub.conf, in modo da far funzionare correttamente questo metodo. In caso contrario, un aggressore sarà in grado di accedere all'interfaccia editor di GRUB e rimuovere la riga di blocco.

Per creare una password diversa per un kernel in particolare o per un sistema operativo, aggiungete una riga lock alla sezione, seguita da una riga password.

Ogni sezione protetta con una password unica, deve iniziare con delle righe simili alle seguenti:

title DOS
lock
password --md5 <password-hash>

Note

[1]

Poichè i BIOS dei sistemi differiscono a seconda del fornitore, alcuni possono non supportare le varie protezioni della password indicate precedentemente, mentre altri possono supportarne solo uno.

[2]

GRUB accetta anche password non cifrate, ma è consigliato usare la versione md5, per maggiore sicurezza.