segunda-feira, 9 de julho de 2012

Desabilitando usuários no linux!

Vamos direto ao assunto: mesmo que você crie somente sua conta para usar no pinguim, vários outras contas de usuários são criadas quando se instala programas, ou mesmo na configuração padrão do sistema.

Mas isso faz parte do jogo...

Se você é fissurado no quesito "segurança" e deseja restringir os usuários que podem logar no sistema, vou explicar aqui como desabilitá-los, deixando somente o root e o seu login.

Em primeiro lugar vamos ver quais usuários ativos existem (meu exemplo):

$ cat /etc/passwd

root::15502:0:99999:7:::
daemon:*:15453:0:99999:7:::
bin:*:15453:0:99999:7:::
sys:*:15453:0:99999:7:::
sync:*:15453:0:99999:7:::
games:*:15453:0:99999:7:::
man:*:15453:0:99999:7:::
lp:*:15453:0:99999:7:::
mail:*:15453:0:99999:7:::
news:*:15453:0:99999:7:::
uucp:*:15453:0:99999:7:::
proxy:*:15453:0:99999:7:::
www-data:*:15453:0:99999:7:::
backup:*:15453:0:99999:7:::
list:*:15453:0:99999:7:::
irc:*:15453:0:99999:7:::
gnats:*:15453:0:99999:7:::
nobody:*:15453:0:99999:7:::
libuuid::15453:0:99999:7:::
syslog:*:15453:0:99999:7:::
messagebus:*:15453:0:99999:7:::
colord:*:15453:0:99999:7:::
lightdm:*:15453:0:99999:7:::
usbmux:*:15453:0:99999:7:::
pulse:*:15453:0:99999:7:::
hplip:*:15453:0:99999:7:::
saned:*:15453:0:99999:7:::
meu_login:CCCFfyZEOxyxEFUvoJu4MHaaWqv0:15502:0:99999:7:::

Vamos deixar apenas o "meu_login" e "root" ativos. Assim os demais continuam existindo mas não podem ser usados para ataques externos, já que não poderão logar no sistema.

Não delete estes usuários pois são necessários para o funcionamento correto de seu linux. Então faça assim:

$ sudo usermod -s /dev/null -L conta

ou

$ sudo usermod -s /dev/null -L messagebus

O comando usermod altera o status da conta, adicionando o shell não válido /dev/null no arquivo /etc/passwd, que não pode ser substituído por um shell válido.

Depois de utilzar o comando acima, no campo da senha aparece um ponto de exclamação ("!"), assim:

messagebus:!*:15453:0:99999:7:::

Você pode inclusive desabilitar a conta root, adicionando uma camada de segurança a mais no seu linux,. 

Para obter privilégios de superusuário, o invasor teria de logar-se com sua conta e depois tentar aquele. Seria uma senha a mais para decorar.

Até a próxima dica!
;-))

Nenhum comentário:

Postar um comentário