Proibindo login com root
Uma configuração de segurança é limitar os poderes do root para que o mesmo não faça login no sistema.
Apenas usuários conhecidos e com permissões podem usar o comando su para escalar privilégios e se tornar superusuário no sistema.
Para autenticação o linux usa o PAM - Pluggable Authentication Modules (Módulos Anexáveis de Autenticação) - é um conjunto de bibliotecas compartilhadas que permitem ao administrador do sistema local definir como as aplicações autenticam os usuários, sem a necessidade de modificar e recompilar programas.
Para esta tarefa serão modificados dois arquivos /etc/security/time.conf e /etc/pam.d/login
Configurando o arquivo /etc/security/time.conf
#vim /etc/security/time.conf login;*;root;!Al0000-2400
Esta regra vai proibir o root de usar o programa login em todos os ttys durante todo o tempo.
Configurando o arquivo /etc/pam.d/login
A configuração do arquivo /etc/pam.d/login vai dizer ao sistema para usar o arquivo time.conf. Sua configuração é quase igual entre as distribuições CentOS e Debian
CentOS
Deve ser adicionada a linha “account requisite pam_time.so” antes da linha “account include system-auth”
#vim /etc/pam.d/login account requisite pam_time.so account include system-auth
Debian
Deve-se adicionar a linha no final do arquivo /etc/pam.d/login:#vim /etc/pam.d/login account requisite pam_time.so
Pronto como isto o root não consiguirá logar no sistema usando a autenticação normal no sistema, apenas usuários normais podem fazer o login, caso haja a necessidade de usar o root, deve-se usar o su para escalar privilégios e fazer as alterações possíveis.
Mais dicas de Hardening são bem-vindas, se conhece algumas medidas de segurança deixe nos comentários.
Mais dicas de Hardening são bem-vindas, se conhece algumas medidas de segurança deixe nos comentários.
0 comentários:
Postar um comentário