Limitando uso do comando su

Publicado por Alessandro Carvalho da Fonseca (darth_acf) em 24/10/2017

[ Hits: 2.223 ]

Blog: https://orcid.org/0000-0003-3489-878X

 


Limitando uso do comando su



Objetivo: realizar pequenos ajustes na configuração dos servidores, com intuito de criar camadas de segurança na sua estrutura de rede.

Passos

1. Limitar usuários que podem usar o programa su:

Crie um grupo chamado "administradores":

# groupadd administradores

Edite o arquivo /etc/pam.d/su:

# required pam_wheel.so group=administradores

Esta configuração trata a autenticidade do usuário (auth) com o módulo "pam_wheel.so", utilizando o grupo "administradores", ou seja, somente usuários que pertencerem ao grupo administradores, é que poderão utilizar o comando su.

Obs.: caso não fosse especificado um grupo no Debian, ele assume o grupo "root" como padrão, em outras distribuições, como Red Hat, ele assume o grupo "Wheel".

2. Adicione um usuário ao grupo "administradores":

# gpasswd -a usuarioteste administradores (adicionando no grupo)
# CTRL + D

Após isso, logar novamente e tente usar o comando su, repita o processo com um usuário que não pertence ao grupo "administradores".

Por questões de segurança, toda a atividade do comando su deve ser monitorada. Os procedimentos abaixo servem para registrar em arquivo de log o uso do comando su pelos usuários.

3. Vamos Editar o arquivo /etc/login.defs e descomentar a seguinte linha:   #SULOG_FILE /var/log/sulog

Ficando assim:

SULOG_FILE /var/log/sulog

4. Logo em seguida, criaremos o arquivo sulog /var/log.

# touch /var/log/sulog

Para fazermos um teste e termos uma melhor visualização do log, vamos configurar para ver o conteúdo do arquivo de log em tempo real (utilize dois terminais para realizar o teste, um para executar o comando su e o outro para ficar logando a atividade):

# tail -f /var/log/sulog


Distro utilizada: Debian Jessie
Fonte: Livro BS7799 da Tática a Prática em Servidores Linux

Outras dicas deste autor

Segurança básica no MySQL

Instalação do MySQL via atualização de repositório

Digital Attack Map - Mapa Iterativo de Ataques DDoS pelo Mundo

Conheça o Kapersky Cyberthreat Real-time Map

Dicas de Tunning TCP

Leitura recomendada

Bloqueando MSN messenger com iptables

Recuperando a senha do super-usuário (root)

Projeto Root - Senhas seguras com o KeePass

Utilizar apenas Firefox no Squid

Heartbleed - Corrigindo OpenSSL em servidores Debian

  

Comentários

Nenhum comentário foi encontrado.



Contribuir com comentário