Restringindo login com chave USB

Publicado por Carlos Affonso Henriques. em 09/07/2007

[ Hits: 8.577 ]

 


Restringindo login com chave USB



Lendo um artigo na revista PC & Cia edição 66 (janeiro de 2007) cujo o título é "Login mais seguro em sistemas Linux" foi que me ocorreu a idéia de implementar esta solução infinitamente mais simples no Slackware, que não possui o PAM por default.

1 - Primeiramente criaremos um arquivo /etc/usb_key com um conteúdo completamente aleatório que será a nossa chave. Ex:

# vim /etc/usb_key

u56564346655343992-0881rtu9087-9898777dssa-rtt74982

2 - Copie este arquivo para a raiz de seu pendrive.

3 - Em seguida daremos a permissão de somente o root ler o arquivo para aumentar a segurança e impedir que outros usuários tenham acesso a nossa chave secreta.

4 - Agora editamos o arquivo /etc/profile, que no Slackware é onde estão todas as variáveis do ambiente bash, e acrescentamos as seguintes linhas:

mount -t auto /dev/sdb2 /mnt/usb
if [ `cat /mnt/usb/usb_key` = `cat /etc/usb_key` ]
then
   :
else
   echo "Chave inválida"
   exit
fi
umount /dev/sdb2

Em meu caso particular sdb2 é segunda partição de meu pen-drive.

Agora para testar experimente remover o pen-drive e tente logar-se como root em outro shell ou mesmo um usuário comum, se estiver tudo OK você não conseguirá, em seguida recoloque o pen-drive e logue-se novamente. Estando tudo OK você conseguirá logar-se normalmente.

Outras dicas deste autor

Construindo bridges Tor com Docker

Instalando Docker no Raspberry Pi

Permissões persistentes em portas seriais

Desabilitando Mensagens de Login de Servidor SSH

Comando sed para formatar CNPJ - formatos antigo e novo

Leitura recomendada

PUCK: Uma distribuição Linux com as melhores ferramentas de teste de intrusão

Colocando uma senha no Grub

Como instalar e remover o Comodo antivírus no Ubuntu

Configurando o APT do seu Ubuntu para usar o proxy

Habilitando SSH no PFSense

  

Comentários
[1] Comentário enviado por rodrigobml em 09/07/2007 - 10:51h

Gostei da dica, mas como faço para logar caso o pendrive seja formatado ou roubado?

[2] Comentário enviado por capitainkurn em 09/07/2007 - 11:01h

Tem muitas formas...
Se você não restringiu o acesso a seu lilo pode entrar em modo single user e remover o trecho de script do /etc/profile, mas suponho que seu boot loader possua tal restrição pois de nada adianta implementar esta solução se hoverem outras forma de acessar o sistema.

Também pode bootar com um live CD e proceder na mesma forma, mas é lógico que em um sistema crítico não se deixa meios de bootar a máquina tão facilmente assim.

Então resta apenas fazer a primeira coisa que todo mundo deveria aprender antes mesmo de tocar em um mouse.... BACKUP, salve a chave em um lugar seguro. Simples assim!

[3] Comentário enviado por thyagofs em 09/07/2007 - 19:08h

Excelente ! Simples e eficaz !!



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts