Senha de root - Como bloquear com segurança

Um artigo que solucionará grandes problemas que usuários/administradores Linux enfrentam. Esta é uma das mil e umas maneiras de bloquear a senha do root, mas que muitos a utilizam sem se preocupar com segurança básica.

[ Hits: 18.173 ]

Por: Marcus Winicius Oliveira Costa em 21/03/2012


Introdução



Olá a todos!

Por muito tempo, tenho visto este site e recebido ajuda dos mais diversos usuários, tanto com simples/complexos artigos até respostas de problemas! Entretanto, até o momento, não havia feito nenhuma contribuição!

Então, é por meio deste simples artigo, que repasso um conhecimento que obtive recentemente e que, creio eu, solucionará grandes problemas que usuários/administradores Linux enfrentam!

Primeiramente, começo dizendo que esta é uma das mil e umas maneiras de bloquear a senha do root, mas que muitos a utilizam sem se preocupar com segurança básica!

Em segundo lugar, este artigo foi montado juntando conhecimentos de vários outros artigos!

E por último, agradeço a ajuda de dois companheiros que me ajudaram a criar este 'mistério' e, no final das contas, a solucioná-lo: Kelton Soares (msnbrazil1) e George Mendes Marra (debianman).

Bloqueando alteração de senha do root com mais segurança

Vamos à prática:

1°- Alteramos a permissão do arquivo “passwd”, que se encontra no diretório “/etc” para somente leitura.

Com isso, qualquer usuário ficará impedido de alterar qualquer senha (deixo isto bem claro, porque tanto o usuário comum quanto usuário root não poderão alterar a senha):

# chmod 444 /etc/passwd

2°- Removemos o Recovery Mode do GRUB.

Para quem não sabe, através do GRUB, podemos alterar a senha de root! Isto acontece no momento que vamos escolher o S.O. que daremos Boot.

Temos uma opção que carrega o Linux normalmente e outra que inicia o mesmo em modo “Recovery”. Removemos então, esta linha do GRUB, removendo também toda falha de segurança neste sentido:

# nano /boot/grub/grub.cfg

No arquivo que for aberto, deve-se comentar todas as linhas que correspondem à linha de Boot do Recovey Mode, que vai desde a linha que aparece no Boot do GRUB, até uma Chave: }

Exemplo: Procure no arquivo, algo do tipo:

if [ -f ~/.bash_alias ]; then
	. ~/.bash_alias
fi 


Com este código, o arquivo “.bash_alias” será carregado quando o Shell for iniciado e então, os comandos contidos nele serão executados!

Vamos agora, criar este arquivo “.bash_alias”, que será o arquivo que conterá o 'alias' do comando PASSWD para os usuários comuns. Você poderá também criar outros 'alias' e colocá-los neste mesmo arquivo.

5°- Digite o comando:

# nano /home/usuario/.bash_alias

Neste arquivo, insira o 'alias' abaixo:

alias passwd='passwd &> /dev/null'


Com estes passos anteriores, o comando PASSWD não retornará nenhum erro de permissão ao usuário comum que está logado!

6°- Reinicie o sistema (este passo é necessário para recarregar algumas das configurações alteradas):

# reboot

Pronto! Faça um teste!

Como usuário comum, digite o comando:

passwd

Veja que não foi possível alterar a senha e nenhuma mensagem foi retornada!

Agora como usuário root, digite:

# passwd

Veja que não foi possível alterar a senha e nenhuma mensagem foi retornada!

Caso algo tenha saído errado, deixe seu comentário para que possamos resolver juntos o problema!

Por enquanto, é só pessoal!

Abraços!

Marcus W.

   

Páginas do artigo
   1. Introdução
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Autenticando usuários

Apache2, PHP5, MySQL5 e PhpMyAdmin com certificação SSL no Debian Etch

Webacula - Instalação e Configuração no Ubuntu 10.04

Windows e Linux no mesmo micro

Instalando MultiLIB no Slackware 14.2 com Atualizações pelo GSlapt

  
Comentários
[1] Comentário enviado por 9u31220 em 21/03/2012 - 10:38h

Parabéns pelo artigo.


[2] Comentário enviado por levi linux em 21/03/2012 - 11:33h

Parabéns pelo artigo, muito bom e bastante útil. 10!

[3] Comentário enviado por nicolo em 21/03/2012 - 12:02h

Nem acabei de ler (vou fazer isso quando chegar em casa) e já está nos favoritos.
Ótimo

[4] Comentário enviado por removido em 21/03/2012 - 20:15h

Parabéns, vou ler com calma e implementar o que ainda não fiz.
Bom trabalho!
;-))

[5] Comentário enviado por renato_pacheco em 22/03/2012 - 17:53h

Sobre o Alias, tem um esquema q vc executa o comando primitivo (sem Alias):

\passwd

Assim ele evita o Alias e executa o comando normalmente.

[6] Comentário enviado por napolitano em 22/03/2012 - 18:28h

Muito bom. Fica só o problema do liveboot... Com um liveboot daria pra acessar todo o disco (desde que não esteja criptografado) e ainda desfazer tudo isso, correto?
É claro que segurança é sempre complicado... rsrs

Parabéns.

[7] Comentário enviado por deusdara em 24/03/2012 - 14:23h

Olá

Esta sequência invalida toda a segurança de senha de root.

1. Dar boot com um LiveCD.

2. E só precisa montar a partição onde o sistema está instalado, como em (substituir reiserfs e sda2 pelas suas):

# sudo mount -t reiserfs /dev/hda2 /mnt/sda2

3. E usar o chroot para obter o prompt de comando do sistema que será recuperado:


# chroot /mnt/sda2



Fonte de Informação:
http://ubuntuforum-br.org/index.php/topic,14614.0.html

[8] Comentário enviado por aroldobossoni em 31/03/2012 - 07:32h

E logo nesse sistema como root até mesmo sem trocar a senha.

[9] Comentário enviado por shampzz em 03/04/2012 - 13:52h

Em qual flavor isso deu certo? (o lance de setar leitura no /etc/passwd??).

o passwd (cmd) tem suid e com isso ele vai editar como root.

Alem do que, para mudar a senha o passwd (cmd) nao edita o /etc/passwd e sim o /etc/shadow, que por default nas ultimas versoes jah tem 000 de permissão.

Eu achei estranho e testei aqui com CentOS 6.2 e não funcou.

[]´zzz

[10] Comentário enviado por emanuel_gomes em 23/11/2012 - 21:07h

Bom, vejo que se criptografar o disco resolve os problemas de permissão passwd shadow e cia, com o esquema de desabilitar recuperação pelo grub resolve o resto, ou ainda tem mais?

Me corrijam se eu estiver errado.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts