Senha de root - Como bloquear com segurança

Um artigo que solucionará grandes problemas que usuários/administradores Linux enfrentam. Esta é uma das mil e umas maneiras de bloquear a senha do root, mas que muitos a utilizam sem se preocupar com segurança básica.

[ Hits: 14.265 ]

Por: Marcus Winicius Oliveira Costa em 21/03/2012


Introdução



Olá a todos!

Por muito tempo, tenho visto este site e recebido ajuda dos mais diversos usuários, tanto com simples/complexos artigos até respostas de problemas! Entretanto, até o momento, não havia feito nenhuma contribuição!

Então, é por meio deste simples artigo, que repasso um conhecimento que obtive recentemente e que, creio eu, solucionará grandes problemas que usuários/administradores Linux enfrentam!

Primeiramente, começo dizendo que esta é uma das mil e umas maneiras de bloquear a senha do root, mas que muitos a utilizam sem se preocupar com segurança básica!

Em segundo lugar, este artigo foi montado juntando conhecimentos de vários outros artigos!

E por último, agradeço a ajuda de dois companheiros que me ajudaram a criar este 'mistério' e, no final das contas, a solucioná-lo: Kelton Soares (msnbrazil1) e George Mendes Marra (debianman).

Bloqueando alteração de senha do root com mais segurança

Vamos à prática:

1°- Alteramos a permissão do arquivo “passwd”, que se encontra no diretório “/etc” para somente leitura.

Com isso, qualquer usuário ficará impedido de alterar qualquer senha (deixo isto bem claro, porque tanto o usuário comum quanto usuário root não poderão alterar a senha):

# chmod 444 /etc/passwd

2°- Removemos o Recovery Mode do GRUB.

Para quem não sabe, através do GRUB, podemos alterar a senha de root! Isto acontece no momento que vamos escolher o S.O. que daremos Boot.

Temos uma opção que carrega o Linux normalmente e outra que inicia o mesmo em modo “Recovery”. Removemos então, esta linha do GRUB, removendo também toda falha de segurança neste sentido:

# nano /boot/grub/grub.cfg

No arquivo que for aberto, deve-se comentar todas as linhas que correspondem à linha de Boot do Recovey Mode, que vai desde a linha que aparece no Boot do GRUB, até uma Chave: }

Exemplo: Procure no arquivo, algo do tipo:

if [ -f ~/.bash_alias ]; then
	. ~/.bash_alias
fi 


Com este código, o arquivo “.bash_alias” será carregado quando o Shell for iniciado e então, os comandos contidos nele serão executados!

Vamos agora, criar este arquivo “.bash_alias”, que será o arquivo que conterá o 'alias' do comando PASSWD para os usuários comuns. Você poderá também criar outros 'alias' e colocá-los neste mesmo arquivo.

5°- Digite o comando:

# nano /home/usuario/.bash_alias

Neste arquivo, insira o 'alias' abaixo:

alias passwd='passwd &> /dev/null'


Com estes passos anteriores, o comando PASSWD não retornará nenhum erro de permissão ao usuário comum que está logado!

6°- Reinicie o sistema (este passo é necessário para recarregar algumas das configurações alteradas):

# reboot

Pronto! Faça um teste!

Como usuário comum, digite o comando:

passwd

Veja que não foi possível alterar a senha e nenhuma mensagem foi retornada!

Agora como usuário root, digite:

# passwd

Veja que não foi possível alterar a senha e nenhuma mensagem foi retornada!

Caso algo tenha saído errado, deixe seu comentário para que possamos resolver juntos o problema!

Por enquanto, é só pessoal!

Abraços!

Marcus W.

   

Páginas do artigo
   1. Introdução
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Configurando o Slackware 12

Servidor de impressão Linux com clientes Windows 2000

BIND DNS Active Directory Windows 2008

Configurando um servidor de backup Bacula

Instalação do Funtoo GNU/Linux em VirtualBox

  
Comentários
[1] Comentário enviado por 9u31220 em 21/03/2012 - 10:38h

Parabéns pelo artigo.


[2] Comentário enviado por levi linux em 21/03/2012 - 11:33h

Parabéns pelo artigo, muito bom e bastante útil. 10!

[3] Comentário enviado por nicolo em 21/03/2012 - 12:02h

Nem acabei de ler (vou fazer isso quando chegar em casa) e já está nos favoritos.
Ótimo

[4] Comentário enviado por removido em 21/03/2012 - 20:15h

Parabéns, vou ler com calma e implementar o que ainda não fiz.
Bom trabalho!
;-))

[5] Comentário enviado por renato_pacheco em 22/03/2012 - 17:53h

Sobre o Alias, tem um esquema q vc executa o comando primitivo (sem Alias):

\passwd

Assim ele evita o Alias e executa o comando normalmente.

[6] Comentário enviado por napolitano em 22/03/2012 - 18:28h

Muito bom. Fica só o problema do liveboot... Com um liveboot daria pra acessar todo o disco (desde que não esteja criptografado) e ainda desfazer tudo isso, correto?
É claro que segurança é sempre complicado... rsrs

Parabéns.

[7] Comentário enviado por deusdara em 24/03/2012 - 14:23h

Olá

Esta sequência invalida toda a segurança de senha de root.

1. Dar boot com um LiveCD.

2. E só precisa montar a partição onde o sistema está instalado, como em (substituir reiserfs e sda2 pelas suas):

# sudo mount -t reiserfs /dev/hda2 /mnt/sda2

3. E usar o chroot para obter o prompt de comando do sistema que será recuperado:


# chroot /mnt/sda2



Fonte de Informação:
http://ubuntuforum-br.org/index.php/topic,14614.0.html

[8] Comentário enviado por aroldobossoni em 31/03/2012 - 07:32h

E logo nesse sistema como root até mesmo sem trocar a senha.

[9] Comentário enviado por shampzz em 03/04/2012 - 13:52h

Em qual flavor isso deu certo? (o lance de setar leitura no /etc/passwd??).

o passwd (cmd) tem suid e com isso ele vai editar como root.

Alem do que, para mudar a senha o passwd (cmd) nao edita o /etc/passwd e sim o /etc/shadow, que por default nas ultimas versoes jah tem 000 de permissão.

Eu achei estranho e testei aqui com CentOS 6.2 e não funcou.

[]´zzz

[10] Comentário enviado por emanuel_gomes em 23/11/2012 - 21:07h

Bom, vejo que se criptografar o disco resolve os problemas de permissão passwd shadow e cia, com o esquema de desabilitar recuperação pelo grub resolve o resto, ou ainda tem mais?

Me corrijam se eu estiver errado.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts