Quem nunca ouviu do cliente ou patrão: "deixa a senha de root anotada ali para que qualquer um possa desligar o equipamento quando precisar".

Trabalho de forma autônoma na implementação de servidores em pequenas e grandes empresas. A grande maioria não tem conhecimento de utilização de Linux, muito menos sobre o poder da "senha de root". Claro que é uma questão de conscientização e parte de um processo de implementação da política de segurança, mas a maioria das microempresas não pensam e nem querem pensar desta forma.

O fato é que em algumas destas empresas é solicitado que exista uma forma de que alguém possa desligar o equipamento sem maiores complicações, e é claro sem a utilização de senha de administrador. A principal situação para isso ocorrer é em dias de chuva e que o administrador não está no local, seja por viagem ou manutenção em qualquer outro local físico.

Os procedimentos a seguir são indicados nestas situações onde usuários comuns necessitem desligar o equipamento, seja por motivo de dias chuvosos ou por outro motivo qualquer que a empresa ou o administrador de rede julgue correto.

Lembro aqui que este tipo de permissão deve ser bem especificada na política de segurança da empresa, evitando a possibilidade de falhas. Os usuários que receberem permissão para esta funcionalidade, devem assinar um termo de responsabilidade de senha.

[1] Comentário enviado por uberalles em 30/11/2008 - 10:54h:

que excelente dica, hein, meu caro!!
nunca pensei nessa possibilidade. muito obrigado.

[2] Comentário enviado por matux em 30/11/2008 - 11:38h:

Ótima dica!
Parabéns e obrigado!

[3] Comentário enviado por walber em 30/11/2008 - 11:57h:

Legal a dica, mais prefiro cadastra o usuario /etc/shutdown.allow, assim ele poderá desligar o pc.

[4] Comentário enviado por tonhaosemacento em 01/12/2008 - 10:41h:

Ao invés de alterar o caminho do shell não seria melhor incluir o conteúdo do script no .bash_profile do usuário?

[5] Comentário enviado por dorivaljunior em 01/12/2008 - 16:12h:

Olá colega, acredito que funcionaria sim, porém a meu ver não seria a melhor opção, pois você estaria habilitando um shell de comando para o usuário. Essa situação pode ser aproveitada por um potencial invasor, o que não pode ocorrer quando o bash é o próprio script para desligar!

Trabalho adotando a lei do menor privilégio, ou seja, permitir apenas o essencial ao funcionamento do sistema.

[6] Comentário enviado por edeunix em 02/12/2008 - 01:59h:

Legal a dica. É bom vermos que há sempre várias dicas e soluções para um mesmo problema, isso mostra como nosso ambiente é flexível.

Fica aqui o procedimento padrão que utilizo.

Em distribuições com o arquivo /etc/inittab é só alterar a linha de ctrl+alt+del pelo comando

ca::ctrlaltdel:/sbin/shutdown -h now

Normalmente esta está com o comando de restart

ca::ctrlaltdel:/sbin/shutdown -t1 -r now

No Ubuntu é só modificar o arquivo, já que não temos a utilização do arquivo inittab nesta distribuição

/etc/event.d/control-alt-delete

Desta forma a pessoa, tendo acesso físico ao servidor em questão, pode desliga-lo da maneira mais usual do Windows, apertando o ctrl alt del.

[]s

[7] Comentário enviado por hugobcar em 02/12/2008 - 14:49h:

Comecei usando dessa forma como o Artigo, há muiiito tempo atrás.

Depois, de algum tempo só uso essa forma do edeunix mesmo... Bem mais simples.

[8] Comentário enviado por dorivaljunior em 03/12/2008 - 08:03h:

Realmente a dica do edeunix é muuuito mais simples e também já utilizei-a! Porém ambas são aplicaveis em situações diferentes, veja:

solução dada por edeunix: eu utilizaria-a em ambiente onde QUALQUER pessoa da empresa possa desligar a máquina.

solução dada por mim: eu utilizaria-a em ambiente onde ALGUMAS pessoas em especial possam desligar a máquina, que é o caso de alguns clientes nos quais instalei servidores. Claro que desabilitei totalmente o ctrl+alt+del para evitar até o reinicio por qualquer pessoa.

[9] Comentário enviado por brunosolar em 03/12/2008 - 10:36h:

Simplificando...

crie um script "desligar" dentro de /bin por exemplo

####script desligar######

#!/bin/bash
shutdown -h now

####fim do script#####

de permissao de executar no script

chmod +x /bin/desligar

crie um link

ln -s /sbin/shutdown /bin/

de permissao

chmod 4777 /bin/shutdown

Pronto qualquer usuario que digitar desligar (ou o nome que deu ao script) ira fazer com que o micro desligue

[10] Comentário enviado por asalafia em 17/02/2009 - 14:11h:

Com relação ao ctrl-alt-del.
Funciona perfeitamente numa máquina somente com Linux, certo ?
Mas e num host virtual ?
Digamos uma máquina com host Windows e algumas VMs linux, Solaris e outros não seria uma boa idéia apertar ctrl-alt-del. Pelo menos não vejo isto como bom.
O mesmo para um Host linux e guest windows ou outra S.O.
Numa solução com VirtualBox, VMWare ou equivalente, o usuário especial para desligar seria uma solução mais segura.

Concordam ??

Uma idéia que me ocorre agora : Seria possível aplicar esta solução de usuário especial para um grupo de máquinas virtuais, onde um usuário pode desligar todas as VMs ?? OU somente algumas VMs ??
Que pensam disto ?
Abraços
Alexandre