Bloquear/restringir acesso ao "su" somente ao grupo wheel

Publicado por Alexandre Correa em 11/01/2005

[ Hits: 17.071 ]

 


Bloquear/restringir acesso ao "su" somente ao grupo wheel



Para bloquear o acesso ao comando 'su' e permitir somente que o grupo wheel tenha acesso ao comando, você pode fazer 2 passos diferentes, ambos funcionam:

1 - modificando permissões:

# chgrp wheel /bin/su
# chmod 4750 /bin/su
# /usr/sbin/usermod -G wheel alexandre


Descrição:
  1. Mudo o grupo que pertence o arquivo /bin/su;
  2. Altero as permissões para que somente dono e grupo executem;
  3. Adicionei o usuário 'alexandre' ao grupo 'wheel'.

2 - modificando o /etc/pam.d/su

# vi /etc/pam.d/su

Adicione, abaixo da linha:

auth       sufficient   /lib/security/$ISA/pam_rootok.so

O seguinte conteúdo (caso não tenha a linha acima, coloque no início do arquivo):

auth       required     /lib/security/$ISA/pam_wheel.so use_uid

(verifique o caminho das libs)

Salve o arquivo e efetue logoff da shell.

# /usr/sbin/usermod -G wheel alexandre

Aqui adicionei o usuário 'alexandre' ao grupo 'wheel'.

ATENÇÃO: sempre deixe uma shell logada como root antes de fazer qualquer alteração. Por que? Porque caso não funcione em seu sistema, você terá como desfazer as modificações. ;)

Sistemas FEDORA já vem com 2 linhas semi-prontas no /etc/pam.d/su.

Aconselho o uso da segunda opção em sistemas baseados no RedHat (Testei no Fedora). Tente a primeira somente se seu sistema ou o su não tenham suporte PAM.

Obrigado.

:P

Outras dicas deste autor

Redirecionamento de portas usando iptables

Mudando a prioridade dos pacotes TCP

Leitura recomendada

Permitir/negar autenticação para determinados grupos

IDS Invisivel - Parte 1

Primeiro grupo de pesquisa de vulnerabilidades e desenvolvimento de exploits em língua portuguesa

Atualizando o Java Runtime Enveronment (JRE) de um jeito bem fácil

Mantendo um arquivo HOSTS seguro

  

Comentários
[1] Comentário enviado por mingal em 10/02/2006 - 18:45h

mano me ajuda ai cara!
vc sabe como q eu faço pra ver o IP de uma maquina pelo terminal + logado como $ ?
e como e eu faço pra logar em outra maquina sem usar o su porque ele tá bloqueado tambem usando o $ ?
e se vc souber algum comando q me ajude a pegar a senha d # fala ai falow !
manda a resposta pra ailson_21@yahoo.com.br
agradeci

[2] Comentário enviado por K1LL -9 em 07/03/2007 - 03:21h

Bem legal a idéia Alexandre.

Beh .... andando pelo VOL ainda se acha pérolas de impulsos ilícitos.
Viuh tanta sessão da tarde de filmes H4CK3R que o cérebro foi diluído e virou 'mingal'.
Tomara que em um ano de net esse hackão não tenha aprendido a usar o google.

Já pensou que perigo ?


kkkkkkkkk

[3] Comentário enviado por lipecys em 15/04/2008 - 15:04h

Cara, muito obrigado pelo artigo, muito bom.
Extremamente útil.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts