removido
(usa Nenhuma)
Enviado em 29/10/2014 - 20:58h
josieljorge escreveu:
Bom, deixa eu explicar então o que estou precisando.
Eu administro um servidor somente eu tenho a senha de root. Porém, eu não fico neste local, e as pessoas que ficam nesse local colocam CD na máquina e rodam uma plataforma qualquer direto do CD e acessam o arquivo shadow do meu linux e apagam a senha.
Já tentei diversas forma de impedir isso. E descobri que não existe nada 100% eficaz contra isso!
Por isso, além de todas as formas de impedir que existe hoje em dia (tudo mesmo), eu copiei o meu arquivo shadow com a minha senha e esse novo arquivo coloquei um nome nada sugestivo e bem escondido, e coloquei no rc.local o comando para substituir o shadow pelo meu arquivo com minha senha ao subir o meu linux.
Ou seja, mesmo que apaguem a senha, quando reiniciar volta minha senha.
Agora preciso esconder o rc.local que está com este comando de forma que se eles desconfiarem e buscar o rc.local não terá nada dentro dele.
Dessa forma eu como administrador vou conseguir proteger meu trabalho dos invasores internos!!!
Por favor, preciso de ajuda, se tiverem outra ideia aceito sugestões!
Desde já agraço!
Certo, tem que analisar algumas situações alem do SHC :
1 - Desabilite no BIOS/EFI os métodos de boot que não sejam pelo disco do sistema operacional (Desabilite a inicialização por CD/DVD, USB, REDE etc).
2 - Defina uma senha para entrar no BIOS/EFI e para o Menu de boot da placa mãe (Se for possível, desabilite as teclas para o menu de boot da placa mãe).
3 - Defina uma senha para o GRUB (Para impedir o login em modo de recuperação, ou passar parâmetros ao kernel que possam gerar uma elevação de privilégios).
http://www.vivaolinux.com.br/dica/Colocando-senha-criptografada-no-GRUB-2 <--- GRUB2, para CentOS7
http://www.vivaolinux.com.br/dica/Inserindo-uma-senha-criptografada-no-GRUB <--- GRUB, para CentOS 6.X ou anterior
http://www.tecmint.com/password-protect-grub-in-linux/
4 - Se for possível, use lacres para impedir que o gabinete do servidor seja aberto (Para "resetar" o bios por exemplo). Mesmo se for um servidor "montado" com gabinete comum, abri-lo dara um trabalho a mais para o invasor e deixara ainda mais evidente a violação.
5 - Pode estudar como criptografar algumas partições (Para este caso, pode tentar o /etc ou a partição onde deixara seu /etc/shadow).
Mas tome cuidado, tente replicar o ambiente antes em uma maquina virtual para testar a viabilidade antes de por em produção.
http://wiki.centos.org/HowTos/EncryptedFilesystem
*Se for possível, defina uma politica básica de segurança que proíba o acesso não autorizado e comunique o gerente para que ele o respalde (Se for você o gerente, seja claro e firme com os espertinhos e leve o caso aos seus superiores se for preciso).
Se for um cliente seu ou algum "parceiro"/outro prestador, esclareça a importância de serem parceiros e não fazerem alterações no sistema sem seu conhecimento(As pessoas são difíceis, mas não custa tentar).
