RH253中“Boot Loader Security"的一点疑问。

Question

LILO部分：
The restricted directive forces use of the password only when parameters are specified.

For LILO,the use of restricted results in no password being needed unless the user enters a parameter such as init=/bin/tcsh on the command line. The use of restricted requires a password.
这是原文两段描述。可是我没有搞明白这个restricted该怎么用。我在lilo.conf中加上它就报错。有哪位大虾给我讲讲它如何用？

Answer 1

Password关键字定义了启动系统时的密码，如：
password=test
如果希望引导时输入密码，可以把该文件中的restricted关键字删除
如果希望在引导时附加核心参数也输入密码，就加入restricted关键字。Restricted关键字主要用于对增加核心参数时的保护，例如当加入single参数时

Answer 2

原帖由 "Chuai" 发表：
Password关键字定义了启动系统时的密码，如：
password=test
如果希望引导时输入密码，可以把该文件中的restricted关键字删除
如果希望在引导时附加核心参数也输入密码，就加入restricted关键字。Restricted关键?.........

这个password=*的用法我刚做了点试验。如果加在"install=/boot/boot.b"的下一行，则进入单用户模式时要密码，如果加在label=*处，则进入所在系统时要密码。但是这个restricted不太会用。能不能举个例子？谢谢！

Answer 3

If you want to allow booting a kernel or operating system without password verification, but do not want to allow users to add arguments without a password, you can add the restricted directive on the line below the password line within the stanza. Such a stanza begins similar to this:

Pinyin(jiandan fanyi): yiban yonghu bu xuyao kouling jiu keyi "boot" jiqi -- dan cideng yonghu bu keyi gaibian "boot parameter" liru: dan yonghu "status"

image=/boot/vmlinuz-<version>;
password=<password>;
restricted

Again, replace:
<version>; with kernel version

and

<password>; with the LILO password for that kernel.

If you use the restricted directive, you must also have a password line in the stanza. /* fanyi: shangmian di_er hang shi bixu de -- ruguo nin yaoyong "restricted" directive de hua. */

ref.: http://www.redhat.com/docs/manuals/linux/RHL-9-Manual/security-guide/s1-wstation-boot-sec.html

Answer 4

我把我的lilo也装上了，试了一下，结果如下：
1)在通用配置中，仅加入password=password，则登录或进入single等特殊模式均需要输入口令
2)在通用配置中，加入
  password=password
  restricted
  后，只要不是进入单用户等类似模式，则不需要输入password就可以自动启动，当如果要在启动时输入内核引导参数时（例如linux single），restricted会起作用，要求输入password，对于远程维护系统比较有用
没有试验在非通用配置模式中加入，lilo.conf的man帮助中说可以保护相关的images，估计情况类似

Answer 5

谢谢兄弟们!昨晚我在rh7.0中做的实验.实验结果如下:
在install=/boot/boot.b的下一行加上
password=password
在启动时按ctrl+X输入linux single时要密码,直接启动不要密码.在password=*的下一行加上restricted的效果也是如此.没有什么变化.
在下面的部分,在label=linux下我加上password则启动时等待我输入密码进入系统.

Answer 6

原帖由 "En_route" 发表：

ref.: http://www.redhat.com/docs/manuals/linux/RHL-9-Manual/security-guide/s1-wstation-boot-sec.html

Thank you!I'll see the link you give me.

Answer 7

原帖由 "好好先生" 发表：
谢谢兄弟们!昨晚我在rh7.0中做的实验.实验结果如下:
在install=/boot/boot.b的下一行加上
password=password
在启动时按ctrl+X输入linux single时要密码,直接启动不要密码.在password=*的下一行加上restricted的?.........

我的系统是9.0，如果不加restrited，那么直接启动也要密码。难道是版本的问题？

Answer 8

现在的书是针对rh9.0的，你可以在9.0里面用 -v 安装lilo看看,应该不会错的.

Answer 9

应该是加的位置的问题吧.你是在那儿加的?我看书上的意思,应该是产生你说的效果,但我没有试验出来.我在fedora中本来想装个lilo的,可是有lilo.conf.a*那个文件但没有lilo这个命令,于是到rh7.0中做的实验.有可能是版本的问题.我再试验一下.如果是这个效果,就对了.谢谢!