Spesielt om fellesmaskiner

Konfigurasjon av fellesmaskiner (termstue o.l.). Kan v?re noe utdatert.

1???Definisjon

Det skilles mellom fellesmaskiner og personlige maskiner. Fellesmaskiner er maskiner som er tilgjengelige for alle, hvorav endel kan v?re mer kl?fingret enn vi liker. Eksempel p? fellesmaskiner er termstue- og pcstue-maskiner for studenter. Personlige maskiner er maskiner der den lokale IT-ansvarlige har tiltrodd eieren privilegier som f.eks. root-passordet. Det er helt klart fellesmaskiner som gir sikkerheten st?rst utfordring.

En fellesmaskin kan kort defineres som en maskin der det er lagt opp til at mange brukere har adgang, enten logisk ved mulighet for vanlig innlogging og/eller fysisk adgang til maskinen. Man b?r passe s?rlig godt p? maskiner hvor "vanlige" studenter har adgang.

2???Regler

F?lgende regler er viktige for sikkerheten p? fellesmaskiner:

  1. Maskinen skal ikke kunne boote fra diskett, CDROM, USB-penn e.l.

    I s? tilfelle kan hvem som helst bli root, ved enten ? boote sitt eget lille OS eller ved ? omg? andre sikkerhetstiltak som settes under boot.

  2. Maskinen skal ha satt BIOS-passord, slik at ikke hvem som helst kan f? maskinen til ? boote fra annet enn harddisk. Se over.

  3. Maskinen skal ha passord satt i bootloader /etc/grub.conf. Dette gj?res for ? ta fra vanlige brukere muligheten til ? starte GRUB i interaktiv modues og spesifisere boot-parametre til Linux-kjernen, og p? denne m?ten skaffe seg root-aksess.

    Dette gj?res ved ? legge inn f?lgende linje i /etc/grub.conf:

    password --md5 PASSWORD

    Passordet skal v?re MD5-kryptert, og kan f.eks. generes ved ? kj?re kommandoen md5crypt i GRUB. Se dokumentasjonen til GRUB for mer informasjon. (Kj?r kommandoen info grub og velg "Security").

  4. Maskinen skal ikke v?re dual-boot, slik at man ikke kan bruke DOS-programmer til ? unng? restriksjoner satt i BIOS og bootloader.

    Det kan gis unntak fra denne regelen dersom IT-ansvarlig er helt sikker p? at dette ikke er mulig fra Windows, dvs. at n?dvendige restriksjoner er satt i Windows for ? forhindre dette.

Det er den lokale IT-ansvarlige som avgj?r hvilke disker en gitt maskin skal kunne montere, og det er viktig at s?rlig fellesmaskiner sikres skikkelig f?r man eksporterer disker til dem.

Av Trond Hasle Amundsen
Publisert 2. apr. 2024 18:04
Del p? e-post