O local certo para se aprender Linux no Brasil, a sua fonte de artigos, dicas, tutoriais, noticias, howto, reviews e muito mais.

Impedindo que qualquer um faça su para root no redhat

Arquivado em Artigos <> Segurança
Impedindo que qualquer um faça su para root no redhat
Segurança ao limitar a permissão de uso do comando sudo a determinados usuários do sistema operacional linux.

O comando su (Substitui Usuário) permite a você se tornar um outro usuário existente no sistema. Por exemplo, você pode temporariamente tornar-se "root" e executar comandos como o superusuário "root". Se você não quer que qualquer um faça um su para root ou queira restringir o comando "su" para certos usuários, então adicione as duas linhas seguintes no início do arquivo de configuração do "su" no diretório "/etc/pam.d/". Recomendamos, enfaticamente, limitar as pessoas que farão "su" para a conta root.
Passo1

Edite o arquivo su (mcedit /etc/pam.d/su) e adicione as duas linhas seguintes no arquivo:
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel

Após adicionar as duas linhas acima, o arquivo "/etc/pam.d/su" deve parecer-se com isto:

#%PAM-1.0
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel
auth required /lib/security/pam_pwdb.so shadow nullok
account required /lib/security/pam_pwdb.so
passwd required /lib/security/pam_cracklib.so
passwd required /lib/security/pam_pwdb.so shadow use_authok nullok
session required /lib/security/pam_pwdb.so
session optional /lib/security/pam_xauth.so

Que significa que somente aqueles que são membros do grupo "wheel" podem fazer su para root.. Isto também inclui o registro em arquivo de log. Observe que o grupo "wheel" é uma conta especial em seu sistema que pode ser usada para este propósito. Você não poderá usar qualquer nome de grupo, caso queira adotar esta técnica. Esta técnica, combinada com a restrição de login de root pelos dispositivos TTY, melhorará em muito a segurança do seu sistema.

Passo 2
Agora que já definimos o grupo "wheel" no nosso arquivo de configuração "/etc/pam.d/su", é hora de adicionar os usuários que terão permissão de fazer "su" para a conta "root". Caso você queira tornar, como um exemplo, o usuário admin um membro do grupo "wheel" para que ele possa fazer um su para root, use o seguinte comando:

[root@deep /]# usermod -G10 admin

Que significa que "G" é uma lista de grupos suplementares, da qual o usuário também é membro, "10" é o valor numérico da ID do usuário "wheel" e "admin" é o usuário que queremos adicionar ao grupo "wheel". Use o mesmo comando acima para todos os usuários de seu sistema que você queira que façam su para a conta "root".

Esse texto é de autoria de Gerhard Mourani
Envie seu comentário
 
 
Copyright © Sputnix.com.br, Seja Livre, Use Linux