Como difinir outro local para o arquivo /etc/rc.d/rc.local

1. Como difinir outro local para o arquivo /etc/rc.d/rc.local

Josiel
josieljorge

(usa CentOS)

Enviado em 28/10/2014 - 11:24h

Estou precisando esconder os comandos que estão dentro do arquivo /etc/rc.d/rc.local de outros usuários que acessam a máquina.

Pensei na possibilidade de alterar o nome e localização do arquivo /etc/rc.d/rc.local. Como faço isso?

Como definir para o Linux CentOS outro arquivo com os comandos de inicialização que não seja no local padrão /etc/rc.d/rc.local?


  


2. Re: Como difinir outro local para o arquivo /etc/rc.d/rc.local

Renan Arantes
R3nan

(usa Debian)

Enviado em 28/10/2014 - 17:59h

nao seria melhor alterar as permissões ? as outras pessoas tem a senha do root? se nao tiverem é so mudar para

#chmod o-r /etc/rc.d/rc.local

ok

testa ae


3. Re: Como difinir outro local para o arquivo /etc/rc.d/rc.local

Josiel
josieljorge

(usa CentOS)

Enviado em 28/10/2014 - 21:11h

As outras pessoas também tem a senha de root, por isso busco uma alternativa para esconder o arquivo que estará sendo realmente utilizado.


4. Re: Como difinir outro local para o arquivo /etc/rc.d/rc.local

Renan Arantes
R3nan

(usa Debian)

Enviado em 28/10/2014 - 21:25h

mas se as pessoas tem acesso total ao sistema com a senha do root, vc concorda que eles podem fazer uma pesquisa com o find e encontrar o arquivo em qual parte do sistema ? fiquei curioso no q vc colocou no rc.local q nem um administrador com a senha do root possa ver rsrsrsrs



5. Re: Como difinir outro local para o arquivo /etc/rc.d/rc.local

Perfil removido
removido

(usa Nenhuma)

Enviado em 28/10/2014 - 23:24h

R3nan escreveu:

mas se as pessoas tem acesso total ao sistema com a senha do root, vc concorda que eles podem fazer uma pesquisa com o find e encontrar o arquivo em qual parte do sistema ? fiquei curioso no q vc colocou no rc.local q nem um administrador com a senha do root possa ver rsrsrsrs


Se pretende esconder alguma senha, pode tentar:

Usar o SHC, que foi desenvolvido para converter scripts shell para C, mas dependendo do scritp, pade servir para o que quer:
http://elias.praciano.com/2012/05/como-encriptar-um-shell-script-com-shc/

Dependendo do que quer, poderia tambem criar um serviço com um usuário especifico que executaria seu scritp (Apenas este usuario teria permissão no scritpt, que caso algum comando nele precise de elevação, poderia usar o sudo), mas como outros usuários tambem tem a senha do root, complica um pouco. Poderia tentar alguma coisa usando o SELINUX + ACL, para que apenas o usuário do serviço poça acessar o script, mas não estou certo se mesmo com eles, conseguiria.






6. Re: Como difinir outro local para o arquivo /etc/rc.d/rc.local

Josiel
josieljorge

(usa CentOS)

Enviado em 29/10/2014 - 11:26h

Bom, deixa eu explicar então o que estou precisando.

Eu administro um servidor somente eu tenho a senha de root. Porém, eu não fico neste local, e as pessoas que ficam nesse local colocam CD na máquina e rodam uma plataforma qualquer direto do CD e acessam o arquivo shadow do meu linux e apagam a senha.

Já tentei diversas forma de impedir isso. E descobri que não existe nada 100% eficaz contra isso!

Por isso, além de todas as formas de impedir que existe hoje em dia (tudo mesmo), eu copiei o meu arquivo shadow com a minha senha e esse novo arquivo coloquei um nome nada sugestivo e bem escondido, e coloquei no rc.local o comando para substituir o shadow pelo meu arquivo com minha senha ao subir o meu linux.

Ou seja, mesmo que apaguem a senha, quando reiniciar volta minha senha.

Agora preciso esconder o rc.local que está com este comando de forma que se eles desconfiarem e buscar o rc.local não terá nada dentro dele.

Dessa forma eu como administrador vou conseguir proteger meu trabalho dos invasores internos!!!

Por favor, preciso de ajuda, se tiverem outra ideia aceito sugestões!

Desde já agraço!


7. Re: Como difinir outro local para o arquivo /etc/rc.d/rc.local

Perfil removido
removido

(usa Nenhuma)

Enviado em 29/10/2014 - 20:58h

josieljorge escreveu:

Bom, deixa eu explicar então o que estou precisando.

Eu administro um servidor somente eu tenho a senha de root. Porém, eu não fico neste local, e as pessoas que ficam nesse local colocam CD na máquina e rodam uma plataforma qualquer direto do CD e acessam o arquivo shadow do meu linux e apagam a senha.

Já tentei diversas forma de impedir isso. E descobri que não existe nada 100% eficaz contra isso!

Por isso, além de todas as formas de impedir que existe hoje em dia (tudo mesmo), eu copiei o meu arquivo shadow com a minha senha e esse novo arquivo coloquei um nome nada sugestivo e bem escondido, e coloquei no rc.local o comando para substituir o shadow pelo meu arquivo com minha senha ao subir o meu linux.

Ou seja, mesmo que apaguem a senha, quando reiniciar volta minha senha.

Agora preciso esconder o rc.local que está com este comando de forma que se eles desconfiarem e buscar o rc.local não terá nada dentro dele.

Dessa forma eu como administrador vou conseguir proteger meu trabalho dos invasores internos!!!

Por favor, preciso de ajuda, se tiverem outra ideia aceito sugestões!

Desde já agraço!



Certo, tem que analisar algumas situações alem do SHC :

1 - Desabilite no BIOS/EFI os métodos de boot que não sejam pelo disco do sistema operacional (Desabilite a inicialização por CD/DVD, USB, REDE etc).

2 - Defina uma senha para entrar no BIOS/EFI e para o Menu de boot da placa mãe (Se for possível, desabilite as teclas para o menu de boot da placa mãe).

3 - Defina uma senha para o GRUB (Para impedir o login em modo de recuperação, ou passar parâmetros ao kernel que possam gerar uma elevação de privilégios).
http://www.vivaolinux.com.br/dica/Colocando-senha-criptografada-no-GRUB-2 <--- GRUB2, para CentOS7
http://www.vivaolinux.com.br/dica/Inserindo-uma-senha-criptografada-no-GRUB <--- GRUB, para CentOS 6.X ou anterior
http://www.tecmint.com/password-protect-grub-in-linux/

4 - Se for possível, use lacres para impedir que o gabinete do servidor seja aberto (Para "resetar" o bios por exemplo). Mesmo se for um servidor "montado" com gabinete comum, abri-lo dara um trabalho a mais para o invasor e deixara ainda mais evidente a violação.

5 - Pode estudar como criptografar algumas partições (Para este caso, pode tentar o /etc ou a partição onde deixara seu /etc/shadow).
Mas tome cuidado, tente replicar o ambiente antes em uma maquina virtual para testar a viabilidade antes de por em produção.
http://wiki.centos.org/HowTos/EncryptedFilesystem


*Se for possível, defina uma politica básica de segurança que proíba o acesso não autorizado e comunique o gerente para que ele o respalde (Se for você o gerente, seja claro e firme com os espertinhos e leve o caso aos seus superiores se for preciso).
Se for um cliente seu ou algum "parceiro"/outro prestador, esclareça a importância de serem parceiros e não fazerem alterações no sistema sem seu conhecimento(As pessoas são difíceis, mas não custa tentar).










Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts