Anybody can easily get a root-shell and change your passwords by entering

<name-of-your-bootimage> init=/bin/sh

at the boot prompt. After changing the passwords and rebooting the system, the person has unlimited root-access and can do anything he/she wants to the system. After this procedure you will not have root access to your system, as you do not know the root password.

Per essere sicuri di evitare di trovarvi in questa situazione dovete impostare una password per il vostro boot loader. Potete scegliere se impostare la password globalmente, oppure per una determinata immagine.

For LILO you need to edit the config file /etc/lilo.conf and add a password and restricted line as in the example below.

  image=/boot/2.2.14-vmlinuz
     label=Linux
     read-only
     password=hackme
     restricted

Successivamente, assicuratevi che il file di configurazione non sia leggibile da tutti, in modo da impedire che i normali utenti possano leggere la password. Fatto ciò, riavviate lilo. Omettere la riga contenente restricted fa sì che lilo chieda sempre una password, indipendentemente dal fatto che gli siano stati passati dei parametri o meno. I permessi predefiniti per il file /etc/lilo.conf consentono l'accesso in scrittura ed in lettura all'utente root e l'accesso in lettura al gruppo utenti cui appartiene il file, root.

Se al posto di LILO usate GRUB, modificate /boot/grub/menu.lst ed aggiungete le seguenti due righe all'inizio (naturalmente, sostituite hackme con la vostra password). Questo previene che si modifichi la configurazione di avvio. La direttiva timeout 3 istruisce grub ad attendere 3 secondi prima di avviare il sistema.

  timeout 3
  password hackme

Per conservare l'integrità delle password, si può generare una password cifrata. Il programma grub-md5-crypt genera una password compatibile con l'algoritmo di cifratura per le password di GRUB (MD5). Per specificare in grub che si intende usare il sistema di password nel formato MD5, bisogna usare la seguente direttiva:

  timeout 3
  password --md5 $1$bw0ez$tljnxxKLfMzmnDVaQWgjP0

Il parametro --md5, istruisce grub ad usare il processo di autenticazione MD5. L'esempio riporta la versione cifrata con MD5 della parola hackme. Usare il metodo di cifratura delle password MD5 è preferibile che lasciare il testo chiaramente leggibile. Potete trovare altre informazioni sull'uso delle password con grub nel pacchetto grub-doc.