sábado, 21 de junho de 2014

Proibindo login com root

By on 16:32

Proibindo login com root

 


Uma configuração de segurança é limitar os poderes do root para que o mesmo não faça login no sistema.

Apenas usuários conhecidos e com permissões podem usar o comando su para escalar privilégios e se tornar superusuário no sistema.

Para autenticação o linux usa o PAM - Pluggable Authentication Modules (Módulos Anexáveis de Autenticação) - é um conjunto de bibliotecas compartilhadas que permitem ao administrador do sistema local definir como as aplicações autenticam os usuários, sem a necessidade de modificar e recompilar programas.

Para esta tarefa serão modificados dois arquivos /etc/security/time.conf e /etc/pam.d/login

Configurando o arquivo /etc/security/time.conf



#vim /etc/security/time.conf
login;*;root;!Al0000-2400

Esta regra vai proibir o root de usar o programa login em todos os ttys durante todo o tempo.

Configurando o arquivo /etc/pam.d/login 

 

A configuração do arquivo /etc/pam.d/login vai dizer ao sistema para usar o arquivo time.conf. Sua configuração é quase igual entre as distribuições CentOS e Debian

 

CentOS 

Deve ser adicionada a linha “account requisite pam_time.so” antes da linha “account include system-auth”
#vim /etc/pam.d/login
account  requisite pam_time.so
account include system-auth

Debian

Deve-se adicionar a linha no final do arquivo /etc/pam.d/login:

#vim /etc/pam.d/login
account  requisite pam_time.so

Pronto como isto o root não consiguirá logar no sistema usando a autenticação normal no sistema, apenas usuários normais podem fazer o login, caso haja a necessidade de usar o root, deve-se usar o su para escalar privilégios e fazer as alterações possíveis.

Mais dicas de Hardening são bem-vindas, se conhece algumas medidas de segurança deixe nos comentários.




0 comentários:

Postar um comentário