Usuário especial para desligar servidores Linux

Procedimentos indicados em situações onde usuários comuns necessitem desligar o equipamento, seja por motivo de dias chuvosos ou por outro motivo qualquer que a empresa ou o administrador de rede julgue correto.

[ Hits: 24.866 ]

Por: Dorival Junior em 30/11/2008


Introdução



Quem nunca ouviu do cliente ou patrão: "deixa a senha de root anotada ali para que qualquer um possa desligar o equipamento quando precisar".

Trabalho de forma autônoma na implementação de servidores em pequenas e grandes empresas. A grande maioria não tem conhecimento de utilização de Linux, muito menos sobre o poder da "senha de root". Claro que é uma questão de conscientização e parte de um processo de implementação da política de segurança, mas a maioria das microempresas não pensam e nem querem pensar desta forma.

O fato é que em algumas destas empresas é solicitado que exista uma forma de que alguém possa desligar o equipamento sem maiores complicações, e é claro sem a utilização de senha de administrador. A principal situação para isso ocorrer é em dias de chuva e que o administrador não está no local, seja por viagem ou manutenção em qualquer outro local físico.

Os procedimentos a seguir são indicados nestas situações onde usuários comuns necessitem desligar o equipamento, seja por motivo de dias chuvosos ou por outro motivo qualquer que a empresa ou o administrador de rede julgue correto.

Lembro aqui que este tipo de permissão deve ser bem especificada na política de segurança da empresa, evitando a possibilidade de falhas. Os usuários que receberem permissão para esta funcionalidade, devem assinar um termo de responsabilidade de senha.

    Próxima página

Páginas do artigo
   1. Introdução
   2. Procedimentos
Outros artigos deste autor

Autoração de DVD - Usando somente Software Livre

Revisão atualizada de instalação do Iptables com Layer7

Certificado A3 (Cartão) no eCAC (Receita Federal) no Ubuntu 19.10 e Similares

Leitura recomendada

Wmap web scanner

Segurança na Internet

Gerenciar e configurar inetd e serviços relacionados

Vault: SSH com OneTimePassword

Bom escudo não teme espada: o módulo pam_cracklib

  
Comentários
[1] Comentário enviado por uberalles em 30/11/2008 - 10:54h

que excelente dica, hein, meu caro!!
nunca pensei nessa possibilidade. muito obrigado.

[2] Comentário enviado por matux em 30/11/2008 - 11:38h

Ótima dica!
Parabéns e obrigado!

[3] Comentário enviado por walber em 30/11/2008 - 11:57h

Legal a dica, mais prefiro cadastra o usuario /etc/shutdown.allow, assim ele poderá desligar o pc.

[4] Comentário enviado por tonhaosemacento em 01/12/2008 - 10:41h

Ao invés de alterar o caminho do shell não seria melhor incluir o conteúdo do script no .bash_profile do usuário?

[5] Comentário enviado por dorivaljunior em 01/12/2008 - 16:12h

Olá colega, acredito que funcionaria sim, porém a meu ver não seria a melhor opção, pois você estaria habilitando um shell de comando para o usuário. Essa situação pode ser aproveitada por um potencial invasor, o que não pode ocorrer quando o bash é o próprio script para desligar!

Trabalho adotando a lei do menor privilégio, ou seja, permitir apenas o essencial ao funcionamento do sistema.

[6] Comentário enviado por edeunix em 02/12/2008 - 01:59h

Legal a dica. É bom vermos que há sempre várias dicas e soluções para um mesmo problema, isso mostra como nosso ambiente é flexível.

Fica aqui o procedimento padrão que utilizo.

Em distribuições com o arquivo /etc/inittab é só alterar a linha de ctrl+alt+del pelo comando

ca::ctrlaltdel:/sbin/shutdown -h now

Normalmente esta está com o comando de restart

ca::ctrlaltdel:/sbin/shutdown -t1 -r now

No Ubuntu é só modificar o arquivo, já que não temos a utilização do arquivo inittab nesta distribuição

/etc/event.d/control-alt-delete

Desta forma a pessoa, tendo acesso físico ao servidor em questão, pode desliga-lo da maneira mais usual do Windows, apertando o ctrl alt del.

[]s

[7] Comentário enviado por hugobcar em 02/12/2008 - 14:49h

Comecei usando dessa forma como o Artigo, há muiiito tempo atrás.

Depois, de algum tempo só uso essa forma do edeunix mesmo... Bem mais simples.


[8] Comentário enviado por dorivaljunior em 03/12/2008 - 08:03h

Realmente a dica do edeunix é muuuito mais simples e também já utilizei-a! Porém ambas são aplicaveis em situações diferentes, veja:

solução dada por edeunix: eu utilizaria-a em ambiente onde QUALQUER pessoa da empresa possa desligar a máquina.

solução dada por mim: eu utilizaria-a em ambiente onde ALGUMAS pessoas em especial possam desligar a máquina, que é o caso de alguns clientes nos quais instalei servidores. Claro que desabilitei totalmente o ctrl+alt+del para evitar até o reinicio por qualquer pessoa.

[9] Comentário enviado por brunosolar em 03/12/2008 - 10:36h

Simplificando...

crie um script "desligar" dentro de /bin por exemplo

####script desligar######

#!/bin/bash
shutdown -h now

####fim do script#####

de permissao de executar no script

chmod +x /bin/desligar

crie um link

ln -s /sbin/shutdown /bin/

de permissao

chmod 4777 /bin/shutdown

Pronto qualquer usuario que digitar desligar (ou o nome que deu ao script) ira fazer com que o micro desligue

[10] Comentário enviado por asalafia em 17/02/2009 - 14:11h

Com relação ao ctrl-alt-del.
Funciona perfeitamente numa máquina somente com Linux, certo ?
Mas e num host virtual ?
Digamos uma máquina com host Windows e algumas VMs linux, Solaris e outros não seria uma boa idéia apertar ctrl-alt-del. Pelo menos não vejo isto como bom.
O mesmo para um Host linux e guest windows ou outra S.O.
Numa solução com VirtualBox, VMWare ou equivalente, o usuário especial para desligar seria uma solução mais segura.

Concordam ??

Uma idéia que me ocorre agora : Seria possível aplicar esta solução de usuário especial para um grupo de máquinas virtuais, onde um usuário pode desligar todas as VMs ?? OU somente algumas VMs ??
Que pensam disto ?
Abraços
Alexandre


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts