Pular para o conteúdo

Bloquear/restringir acesso ao "su" somente ao grupo wheel

Dica publicada em Linux / Segurança
Alexandre Correa alexandrecorrea

Por Alexandre Correa em 11/01/2005

Hits: 17.730 Categoria: Linux Subcategoria: Segurança
  • Indicar
  • Impressora
  • Denunciar
O Viva o Linux depende da receita de anúncios para se manter. Ative os cookies aqui para nos patrocinar.
Não conseguimos carregar os anúncios. Se usa bloqueador, considere liberar o Viva o Linux para nos patrocinar.

Bloquear/restringir acesso ao "su" somente ao grupo wheel

Para bloquear o acesso ao comando 'su' e permitir somente que o grupo wheel tenha acesso ao comando, você pode fazer 2 passos diferentes, ambos funcionam:

1 - modificando permissões:

# chgrp wheel /bin/su
# chmod 4750 /bin/su
# /usr/sbin/usermod -G wheel alexandre

Descrição:
  1. Mudo o grupo que pertence o arquivo /bin/su;
  2. Altero as permissões para que somente dono e grupo executem;
  3. Adicionei o usuário 'alexandre' ao grupo 'wheel'.

2 - modificando o /etc/pam.d/su

# vi /etc/pam.d/su

Adicione, abaixo da linha:

auth       sufficient   /lib/security/$ISA/pam_rootok.so

O seguinte conteúdo (caso não tenha a linha acima, coloque no início do arquivo):

O Viva o Linux depende da receita de anúncios para se manter. Ative os cookies aqui para nos patrocinar.
Não conseguimos carregar os anúncios. Se usa bloqueador, considere liberar o Viva o Linux para nos patrocinar.
auth       required     /lib/security/$ISA/pam_wheel.so use_uid

(verifique o caminho das libs)

Salve o arquivo e efetue logoff da shell.

# /usr/sbin/usermod -G wheel alexandre

Aqui adicionei o usuário 'alexandre' ao grupo 'wheel'.

ATENÇÃO: sempre deixe uma shell logada como root antes de fazer qualquer alteração. Por que? Porque caso não funcione em seu sistema, você terá como desfazer as modificações. ;)

Sistemas FEDORA já vem com 2 linhas semi-prontas no /etc/pam.d/su.

Aconselho o uso da segunda opção em sistemas baseados no RedHat (Testei no Fedora). Tente a primeira somente se seu sistema ou o su não tenham suporte PAM.

Obrigado.

:P

O Viva o Linux depende da receita de anúncios para se manter. Ative os cookies aqui para nos patrocinar.
Não conseguimos carregar os anúncios. Se usa bloqueador, considere liberar o Viva o Linux para nos patrocinar.

Outras dicas deste autor

Mudando a prioridade dos pacotes TCP

Redirecionamento de portas usando iptables

Leitura recomendada

SARG: Logotipo personalizado no relatório

ASSH - Anonymous Secure Shell em Linux

Impedindo usuários de efetuar logon

IDSwakeup - Simulador de ataques e falso positivos para testar IDS

SINUS Firewall

Comentários

#1 Comentário enviado por mingal em 10/02/2006 - 18:45h
mano me ajuda ai cara!
vc sabe como q eu faço pra ver o IP de uma maquina pelo terminal + logado como $ ?
e como e eu faço pra logar em outra maquina sem usar o su porque ele tá bloqueado tambem usando o $ ?
e se vc souber algum comando q me ajude a pegar a senha d # fala ai falow !
manda a resposta pra ailson_21@yahoo.com.br
agradeci
#2 Comentário enviado por K1LL -9 em 07/03/2007 - 03:21h
Bem legal a idéia Alexandre.

Beh .... andando pelo VOL ainda se acha pérolas de impulsos ilícitos.
Viuh tanta sessão da tarde de filmes H4CK3R que o cérebro foi diluído e virou 'mingal'.
Tomara que em um ano de net esse hackão não tenha aprendido a usar o google.

Já pensou que perigo ?


kkkkkkkkk
#3 Comentário enviado por lipecys em 15/04/2008 - 15:04h
Cara, muito obrigado pelo artigo, muito bom.
Extremamente útil.

Contribuir com comentário

Entre na sua conta para comentar.