ブートパスワード
別に、見られて困るようなファイルは残していないが、基本的に痕跡を残さずに消えたいので、低レベルでもアクセスを極力不可能にする。
参考:Red Hat Enterprise Linux 4: セキュリティガイド | 4.2. BIOS とブートローダのセキュリティ
1.BIOSパスワードの設定
まずは基本的なところから。
起動時に表示されるBIOS画面からBIOS設定画面に入り、設定する。
細かなところは、ベンダによって違うので、マニュアル参照。
まぁ、これもCMOSリセットによって、回避される可能性はある。
2.ブートローダパスワード設定
シングルユーザモードでのブートをブロックする。
2.1.ハッシュ値の生成
# grub-md5-crypt
Password:
Retype password:
2.2.設定ファイル編集
# vi /boot/grub/grub.conf
timeout行以下に追加
password --md5
2.3.ブートOSロック
デュアルブートなどで、OSパーティションをマウントされるのを防ぐ。
title行の下にlockを追加。
# vi /boot/grub/grub.conf
自分の場合は以下のようになる。
default=1
timeout=5
password --md5
splashimage=(hd0,0)/grub/splash.xpm.gz
hiddenmenu
title CentOS (2.6.18-194.32.1.el5xen)
root (hd0,0)
kernel /xen.gz-2.6.18-194.32.1.el5
module /vmlinuz-2.6.18-194.32.1.el5xen ro root=/dev/VolGroup00/LogVol00 rhgb quiet
module /initrd-2.6.18-194.32.1.el5xen.img
title CentOS (2.6.18-194.32.1.el5)
lock
root (hd0,0)
(略)
各OS固有にパスワードを設定したい場合は、title行以下にpassword --md5
自分の場合は面倒なので、ブートローダ自体にかける。
ここまで設定したが、物理的にOS用HDD(SSD)を引っこ抜いて換装+CMOSリセットを行い、データ用のRAID環境の情報をさらえば、原理的にはサルベージ可能なようだ。
参考:seraphyの日記 | CenOS5.2のレスキューモードで必要な手順
物理的にアクセス可能なら、どうとでもできるな。
定期的にパスワードを入力しないと、消去アプリを発動するようなシェルでも書くか?