下面一些参数配置可以避免在启动时用单用户模式获得root shell。
delay=x
这个数值决定了LILO等待多长时间(以10秒为单位)接受用户输入,然后才启动默认的选项。如果不是多系统启动,其值应设为0。
prompt
有了这个选项,LILO将等待用户的输入,在没有设置timeout的情况下,LILO不会自行启动系统。
restricted
如果用户输入了参数(例如linux single)来启动,这个选项将要求用户输入密码。
password=
这个选项和restricted一起使用,其值是用户设定的密码。由于是明文存放,所以/etc/lilo.conf要设置为仅root可读写。
下面给出一个/etc/lilo.conf的例子:
boot=/dev/hda
map=/boot/map
install=/boot/boot.b
prompt
timeout=100
default=linux
image=/boot/vmlinuz-2.2.12-20
label=linux
root=/dev/hda1
read-only
restricted
password=kpAsSb0rv_f
上面的配置有以下功能:
1。以/boot/vmlinuz-2.2.12内核来启动系统,它存放在IDE1硬盘上在MBR之后的第一个分区上。
2。可以正常的远程启动系统,但如果输入“linux single”,LILO将要求输入密码。
3。如果用参数“linux single”启动系统,timeout选项给出10秒时间接受输入密码。
还需要注意以下步骤:
1。BIOS一定要设置密码保护并且仅从C盘启动。
2。/etc/lilo.conf设置为不可变,用chattr命令:
# chattr +i /etc/lilo.conf
这将会防止lilo.conf无意中或其他原因被修改。如果以后需要改动,必须先去掉不可变的标记:
# chattr -i /etc/lilo.conf
提示:只有root才能对文件设置不可变的标记