Limitando uso do comando su
Dica publicada em Linux / Segurança
Limitando uso do comando su
Objetivo: realizar pequenos ajustes na configuração dos servidores, com intuito de criar camadas de segurança na sua estrutura de rede.
Crie um grupo chamado "administradores":
# groupadd administradores
Edite o arquivo /etc/pam.d/su:
# required pam_wheel.so group=administradores
Esta configuração trata a autenticidade do usuário (auth) com o módulo "pam_wheel.so", utilizando o grupo "administradores", ou seja, somente usuários que pertencerem ao grupo administradores, é que poderão utilizar o comando su.
Obs.: caso não fosse especificado um grupo no Debian, ele assume o grupo "root" como padrão, em outras distribuições, como Red Hat, ele assume o grupo "Wheel".
2. Adicione um usuário ao grupo "administradores":
# gpasswd -a usuarioteste administradores (adicionando no grupo)
# CTRL + D
Após isso, logar novamente e tente usar o comando su, repita o processo com um usuário que não pertence ao grupo "administradores".
Por questões de segurança, toda a atividade do comando su deve ser monitorada. Os procedimentos abaixo servem para registrar em arquivo de log o uso do comando su pelos usuários.
3. Vamos Editar o arquivo /etc/login.defs e descomentar a seguinte linha: #SULOG_FILE /var/log/sulog
Ficando assim:
4. Logo em seguida, criaremos o arquivo sulog /var/log.
# touch /var/log/sulog
Para fazermos um teste e termos uma melhor visualização do log, vamos configurar para ver o conteúdo do arquivo de log em tempo real (utilize dois terminais para realizar o teste, um para executar o comando su e o outro para ficar logando a atividade):
# tail -f /var/log/sulog
Distro utilizada: Debian Jessie
Fonte: Livro BS7799 da Tática a Prática em Servidores Linux
Passos
1. Limitar usuários que podem usar o programa su:Crie um grupo chamado "administradores":
# groupadd administradores
Edite o arquivo /etc/pam.d/su:
# required pam_wheel.so group=administradores
Esta configuração trata a autenticidade do usuário (auth) com o módulo "pam_wheel.so", utilizando o grupo "administradores", ou seja, somente usuários que pertencerem ao grupo administradores, é que poderão utilizar o comando su.
Obs.: caso não fosse especificado um grupo no Debian, ele assume o grupo "root" como padrão, em outras distribuições, como Red Hat, ele assume o grupo "Wheel".
2. Adicione um usuário ao grupo "administradores":
# gpasswd -a usuarioteste administradores (adicionando no grupo)
# CTRL + D
Após isso, logar novamente e tente usar o comando su, repita o processo com um usuário que não pertence ao grupo "administradores".
Por questões de segurança, toda a atividade do comando su deve ser monitorada. Os procedimentos abaixo servem para registrar em arquivo de log o uso do comando su pelos usuários.
3. Vamos Editar o arquivo /etc/login.defs e descomentar a seguinte linha: #SULOG_FILE /var/log/sulog
Ficando assim:
SULOG_FILE /var/log/sulog
4. Logo em seguida, criaremos o arquivo sulog /var/log.
# touch /var/log/sulog
Para fazermos um teste e termos uma melhor visualização do log, vamos configurar para ver o conteúdo do arquivo de log em tempo real (utilize dois terminais para realizar o teste, um para executar o comando su e o outro para ficar logando a atividade):
# tail -f /var/log/sulog
Distro utilizada: Debian Jessie
Fonte: Livro BS7799 da Tática a Prática em Servidores Linux