Capítulo 4. Autenticação

Índice

4.1. Autenticação Unix normal
4.2. Gerir informação de conta e palavra-passe
4.3. Boa palavra-passe
4.4. Criando palavra-passe encriptada
4.5. PAM e NSS
4.5.1. Ficheiros de configuração acedidos pelo PAM e NSS
4.5.2. O moderno sistema de gestão centralizado
4.5.3. "Porque o su do GNU não suporta o grupo wheel"
4.5.4. Regras de palavra-passe rigorosas
4.6. Outros controles de acesso
4.6.1. sudo
4.6.2. SELinux
4.6.3. Restringindo acesso a alguns serviços de servidor
4.7. Segurança da autenticação
4.7.1. Palavra-passe segura sobre a Internet
4.7.2. Shell Segura
4.7.3. Medidas de segurança extra para a Internet
4.7.4. Tornar a palavra-passe do root segura

Quando uma pessoa (ou um programa) requer acesso ao sistema, a autenticação confirma a identidade para ser de confiança.

[Atenção] Atenção

Erros de configuração do PAM podem trancá-lo fora do seu sistema. Você tem de ter um CD de recuperação à mão ou arrancar por uma partição de arranque alternativa. Para recuperar, arranque o sistema com eles e corrija as coisas a partir daí.

4.1. Autenticação Unix normal

A autenticação normal do Unix é disponibilizada pelo módulo pam_unix(8) sob PAM (Pluggable Authentication Modules). Os seus 3 ficheiros de configuração importantes, com entradas separadas por ":", são os seguintes.

Tabela 4.1. 3 ficheiros de configuração importantes para pam_unix(8)

ficheiro permissão utilizador grupo descrição
/etc/passwd -rw-r--r-- root root informação da conta do utilizador (higienizada)
/etc/shadow -rw-r----- root shadow informação segura da conta do utilizador
/etc/group -rw-r--r-- root root informação do grupo

"/etc/passwd" contém o seguinte.

 ...
utilizador1:x:1000:1000:Nome de Utilizador1,,,:/home/utilizador1:/bin/bash
utilizador2:x:1001:1001:Nome de Utilizador2,,,:/home/utilizador2:/bin/bash
 ...

Como explicado em passwd(5), cada entrada ":" separada neste ficheiro significa o seguinte.

  • Nome de login

  • Entrada de especificação de palavra-passe

  • ID numérico do utilizador

  • ID numérico do grupo

  • Nome de utilizador ou campo de comentários

  • Directório home do utilizador

  • Interpretador de comandos opcional do utilizador

A segunda entrada de "/etc/passwd" foi usada para a entrada de palavra-passe encriptada. Após a introdução de "/etc/shadow", esta entrada é usada para a entrada de especificação da palavra-passe.

Tabela 4.2. A segunda entrada no conteúdo de "/etc/passwd"

conteúdo significado
(vazio) conta sem palavra-passe
x a palavra-passe encriptada está em "/etc/shadow"
* nenhum login para esta conta
! nenhum login para esta conta

"/etc/shadow" contém o seguinte.

 ...
user1:$1$Xop0FYH9$IfxyQwBe9b8tiyIkt2P4F/:13262:0:99999:7:::
user2:$1$vXGZLVbS$ElyErNf/agUDsm1DehJMS/:13261:0:99999:7:::
 ...

Como explicado em shadow(5), cada entrada ":" separada neste ficheiro significa o seguinte.

  • Nome de login

  • Palavra-passe encriptada (O "$1$" inicial indica o uso de encriptação MD5. O "*" indica nenhum login.)

  • Dias desde Jan 1, 1970 que essa palavra-passe foi alterada

  • Dias antes da palavra-passe poder ser alterada

  • Dias após os quais a palavra-passe tem de ser alterada

  • Dias de aviso ao utilizador antes da palavra-passe expirar

"/etc/group" contém o seguinte.

grupo1:x:20:utilizador1,utilizador2

Como explicado em grupo(5), cada entrada ":" separada neste ficheiro significa o seguinte.

  • Nome do grupo

  • Palavra-passe encriptada (não usada na realidade)

  • ID numérico do grupo

  • lista separada por "," de nomes de utilizadores

[Nota] Nota

"/etc/gshadow" disponibiliza uma função semelhante à do "/etc/shadow" para "/etc/group" mas não é realmente usado.

[Nota] Nota

A quantidade de membros real de um grupo de um utilizador pode ser adicionada dinamicamente se a linha "auth optional pam_group.so" for adicionada ao "/etc/pam.d/common-auth" e definida em "/etc/security/group.conf". Veja pam_group(8).

[Nota] Nota

O pacote base-passwd contém uma lista autorizada do utilizador e do grupo: "/usr/share/doc/base-passwd/users-and-groups.html".

4.2. Gerir informação de conta e palavra-passe

Aqui estão alguns comandos notáveis para gerir informação de conta

Tabela 4.3. Lista de comandos para gerir informação de conta

comando função
getent passwd <nome_de_utilizador> navegar na informação da conta de "<nome_de_utilizador>"
getent shadow <nome_de_utilizador> explora informação confidencial (shadow) da conta de "<nome_de_utilizador>
getent group <nome_de_grupo> navegar na informação do grupo de "<nome_do_grupo>"
passwd gere a palavra-passe da conta
passwd -e definir palavra-passe de uma-vez para a activação da conta
chage gerir a informação de envelhecimento da palavra-passe

Você pode precisar de ter privilégios de root para algumas funções funcionarem. Veja crypt(3) para a encriptação de palavra passe e dados.

[Nota] Nota

Num sistema configurado com PAM e NSS como a máquina alioth de Debian, o conteúdo dos "/etc/passwd", "/etc/group" e "/etc/shadow" locais pode não ser usado activamente pelo sistema. Os comandos em cima são válidos mesmo sob tal ambiente.

4.3. Boa palavra-passe

Quando criar uma conta durante a instalação do seu sistema ou com o comando passwd(1), você deve escolher uma boa palavra passe que consiste de 6 a 8 caracteres incluindo um ou mais caracteres de cada um dos seguintes conjuntos de acordo com passwd(1).

  • Alfabéticos de minúsculas

  • Dígitos de 0 a 9

  • Marcas de pontuação

[Atenção] Atenção

Não escolha palavras que podem ser adivinhadas para a palavra-passe.

4.4. Criando palavra-passe encriptada

Existem ferramentas independentes para gerar palavras-passe encriptadas salgadas.

Tabela 4.4. Lista de ferramentas para gerar palavras-passe

pacote popcon tamanho comando função
whois * V:11, I:89 154 mkpasswd frontend cheiro de funcionalidades para a biblioteca crypt(3)
openssl * V:69, I:95 1053 openssl passwd computa hashes de palavras passe (OpenSSL). passwd(1ssl)

4.5. PAM e NSS

Os sistemas modernos tipo-Unix como o sistema Debian disponibilizam mecanismos PAM (Pluggable Authentication Modules) e NSS (Name Service Switch) para o administrador local configurar o seu sistema. O papel destes pode ser resumido ao seguinte.

  • O PAM oferece um mecanismo de autenticação flexível usado pelo software de aplicações e assim involve trocas de dados de palavra-passe.

  • O NSS oferece um mecanismo de serviço de nomes flexível que é usado frequentemente pela biblioteca C standard para obter o nome de utilizador e grupo para programas como o ls(1) e o id(1).

Estes sistemas PAM e NSS precisam de ser configurados de modo consistente.

Os pacotes notáveis dos sistemas PAM e NSS são os seguintes.

Tabela 4.5. Lista de sistemas PAM e NSS notáveis

pacote popcon tamanho descrição
libpam-modules * V:88, I:99 813 Pluggable Authentication Modules (serviço básico)
libpam-ldap * V:2, I:3 408 Pluggable Authentication Module que permite interfaces LDAP
libpam-cracklib * V:2, I:2 138 Pluggable Authentication Module para activar suporte a cracklib
libpam-doc * I:0.4 986 Pluggable Authentication Modules (documentação em html e texto)
libc6 * V:96, I:99 10060 GNU C Library: Bibliotecas de partilha que também disponibilizam o serviço "Name Service Switch"
glibc-doc * I:2 1992 Biblioteca GNU C: Manuais (manpages)
glibc-doc-reference * I:1.0 11816 Biblioteca GNU C: Manual de referência em info, pdf e html (não-livre)
libnss-mdns * I:52 144 Módulo NSS para resolução de nomes Multicast DNS
libnss-ldap * I:3 268 Módulo NSS para usar o LDAP como um serviço nomeador
libnss-ldapd * V:0.14, I:0.9 124 Módulo NSS para usar o LDAP como um serviço nomeador (nova bifurcação de libnss-ldap)

  • "O Guia do Administrador do Sistema Linux-PAM" em libpam-doc é essencial para aprender configuração do PAM.

  • A secção "System Databases e Name Service Switch" em glibc-doc-reference é essencial para aprender a configuração do NSS.

[Nota] Nota

Você pode ver uma lista mais extensa e actual pelo comando "aptitude search 'libpam-|libnss-'". O acrónimo NSS também pode significar "Network Security Service" o que é diferente de "Name Service Switch".

[Nota] Nota

PAM é a maneira mais básica de inicializar variáveis de ambiente para cada programa com o valor predefinido de todo o sistema.

4.5.1. Ficheiros de configuração acedidos pelo PAM e NSS

Aqui estão alguns ficheiros de configuração notáveis acedidos pelo PAM.

Tabela 4.6. Lista de ficheiros de configuração acedidos pelo PAM

ficheiro de configuração função
/etc/pam.d/<nome_do_programa> defina a configuração do PAM para o programa "<nome_do_programa>"; veja pam(7) e pam.d(5)
/etc/nsswitch.conf define a configuração NSS com a entrada para cada serviço. Veja nsswitch.conf(5)
/etc/nologin limita o login de utilizador pelo módulo pam_nologin(8)
/etc/securetty limita a tty para o acesso de root pelo módulo pam_securetty(8)
/etc/security/access.conf define limites de acesso pelo módulo pam_access(8)
/etc/security/group.conf define a restrição baseada em grupo pelo módulo pam_group(8)
/etc/security/pam_env.conf define as variáveis de ambiente pelo módulo pam_env(8)
/etc/environment define variáveis de ambiente adicionais pelo módulo pam_env(8) com o argumento "readenv=1"
/etc/default/locale define o locale pelo módulo pam_env(8) com o argumento "readenv=1 envfile=/etc/default/locale" (Debian)
/etc/security/limits.conf define restrição de recursos (ulimit, core, …) pelo módulo pam_linits(8)
/etc/security/time.conf define a retenção de tempo pelo módulo pam_time(8)

A limitação da selecção da palavra-passe é implementada pelos módulos do PAM, pam_unix(8) e pam_cracklib(8). Eles podem ser configurados com os seus argumentos.

[Dica] Dica

Os módulos PAM usam o sufixo ".so" para os seus nomes de ficheiros.

4.5.2. O moderno sistema de gestão centralizado

A moderna gestão de sistema centralizada pode ser implantada usando o servidor Lightweight Directory Access Protocol (LDAP) centralizado para administrar muitos sistema tipo-Unix e não-tipo-Unix na rede. A implementação de código aberto do Lightweight Directory Access Protocol é o Software OpenLDAP.

O servidor LDAP disponibiliza a informação de conta através do uso de PAM e NSS com os pacotes libpam-ldap e libnss-ldap para o sistema Debian. São necessárias várias acções para activar isto (Eu não use esta configuração e o seguinte é puramente informação secundária. Por favor leia isto neste contexto.).

  • Você configura um servidor LDAP centralizado ao correr um programa como o daemon de LDAP autónomo slapd(8).

  • Você altera os ficheiros de configuração do PAM no directório "/etc/pam.d/" para usar "pam_ldap.so" em vez do predefinido "pam_unix.so".

    • Debian usa "/etc/pam_ldap.conf" como ficheiro de configuração para libpam-ldap e "/etc/pam_ldap.secret" como ficheiro para armazenar a palavra-passe do root.

  • Você altera a configuração do NSS no ficheiro "/etc/nsswitch.conf" para usar "ldap" em vez da predefinição("compat" ou "file").

    • Debian usa o "/etc/libnss-ldap.conf" como o ficheiro de configuração para libnss-ldap.

  • Você tem de fazer libpam-ldap para usar a ligação SSL (ou TLS) para a segurança da palavra-passe.

  • Você pode fazer a libnss-ldap usar ligação SSL (ou TLS) para assegurar a integridade dos dados à custa de sobrecarga da rede LDAP.

  • Você deve correr o nscd(8) localmente para colocar em cache quaisquer resultados de busca LDAP de modo a reduzir o tráfego de rede do LDAP.

Veja as documentações em pam_ldap.conf(5) e "/usr/share/doc/libpam-doc/html/" oferecidas pelo pacote libpam-doc e "info libc 'Name Service Switch'" oferecida pelo pacote glibc-doc.

De modo semelhante, você pode configurar sistemas centralizados alternativos com outros métodos.

4.5.3. "Porque o su do GNU não suporta o grupo wheel"

Esta é a famosa frase no fundo da antiga página "info su" por Richard M. Stallman. Não se preocupe, o comando su actual em Debian usa PAM, portanto esse pode restringir a habilidade de usar su ao grupo root ao activar a linha com "pam_wheel.so" em "/etc/pam.d/su".

4.5.4. Regras de palavra-passe rigorosas

Instalar o pacote libpam-cracklib permite-lhe forçar regras de palavra-passe rigorosas, por exemplo, ao ter linhas activas em "/etc/pam.d/common-password" como se segue.

Para squeeze:

password required pam_cracklib.so retry=3 minlen=9 difok=3
password [success=1 default=ignore] pam_unix.so use_authtok nullok md5
password requisite pam_deny.so
password required pam_permit.so

4.6. Outros controles de acesso

[Nota] Nota

Veja Secção 9.5.15, “Tecla Alt-SysRq” para restringir a funcionalidade do kernel chave de atenção segura (SAK).

4.6.1. sudo

O sudo(8) é um programa desenhado para permitir a um administrador de sistema dar privilégios de root limitados a utilizadores e registar a actividade do root. O sudo requer apenas a palavra-passe de um utilizador normal. Instale o pacote sudo e active-o ao definir opções em "/etc/sudoers". Veja um exemplo de configuração em "/usr/share/doc/sudo/examples/sudoers".

A minha utilização do sudo para o sistema de único utilizador (veja Secção 1.1.12, “Configuração do sudo”) destina-se a proteger-me da minha própria estupidez. Pessoalmente, Eu considero usar o sudo uma melhor alternativa do que usar o sistema a partir da conta de root a toda a hora. Por exemplo, o seguinte muda o dono de "<algum_ficheiro>" para "<meu_nome>".

$ sudo chown <meu_nome> <algum_ficheiro>

Claro que se você conhecer a palavra-passe de root (como os utilizadores de sistemas Debian auto-instalados conhecem), qualquer comando pode ser executado sob root a partir da conta de qualquer utilizador usando "su -c".

4.6.2. SELinux

Security-Enhanced Linux (SELinux) é uma estrutura para apertar o modelo de privilégios mais do que o modelo de segurança normal tipo-Unix com as políticas de controle de acesso mandatário (MAC). O poder do root pode estar restringido sob algumas condições.

4.6.3. Restringindo acesso a alguns serviços de servidor

Para a segurança do sistema, é uma boa ideia desactivar o máximo de programas servidores possível. Isto torna-se crítico em servidores de rede. Ter servidores não usados, activados directamente como daemon ou via programa super-server, são considerados riscos de segurança.

Muito programas, como o sshd(8), usam controles de acesso baseados no PAM. Existem muitas maneiras de restringir o acesso a alguns serviços de servidor.

Veja Secção 3.5.3, “O exemplo de gestão do runlevel”, Secção 3.5.4, “O parâmetro predefinido para cada script de init”, Secção 4.5.1, “Ficheiros de configuração acedidos pelo PAM e NSS”, Secção 3.5.8, “Inicialização do serviço de rede”, e Secção 5.9, “Infraestrutura do netfilter”.

[Dica] Dica

os serviços Sun RPC precisam de estar activos para NFS e outros programas baseados em RPC.

[Dica] Dica

Se você tem problemas com acesso remoto num sistema Debian recente, comente configurações ofensivas tais como "ALL: PARANOID" em "/etc/hosts.deny" se existir. (Mas tem que ter cuidado com os riscos de segurança envolvidos com este tipo de acção.)

4.7. Segurança da autenticação

A informação aqui pode não ser suficiente para as suas necessidades de segurança, mas deverá ser um bom começo.

4.7.1. Palavra-passe segura sobre a Internet

Muitos serviços de transporte populares comunicam mensagens incluindo a a autenticação de palavra-passe em texto simples. É má ideia transmitir as palavras-passe em texto simples pela Internet onde podem ser interceptadas. Você pode correr estes serviços sobre "Transport Layer Security" (TLS) ou o seu antecessor, "Secure Sockets Layer" (SSL) para assegurar toda a comunicação incluindo a palavra-passe pela encriptação.

Tabela 4.7. Lista de serviços e portos inseguros e seguros

nome do serviço inseguro porto nome do serviço seguro porto
www (http) 80 https 443
smtp (mail) 25 ssmtp (smtps) 465
ftp-data 20 ftps-data 989
ftp 21 ftps 990
telnet 23 telnets 992
imap2 143 imaps 993
pop3 110 pop3s 995
ldap 389 ldaps 636

A encriptação custa tempo à CPU. Como uma alternativa amiga da CPU, você pode manter a comunicação em texto simples enquanto segura apenas a palavra-passe com um protocolo de autenticação de segurança como o "Authenticated Post Office Protocol" (APOP) para POP e "Challenge-Response Authentication Mechanism MD5" (CRAM-MD5) para SMTP e IMAP. (Para enviar mensagens de mail pela Internet para o seu servidor de mail a partir do seu cliente de mail, é recentemente popular usar o porto 587 para submissão de novas mensagens em vez do porto 25 tradicional do SMTP para evitar o bloqueio do porto 25 pelo provedor de Internet enquanto você se autentica com CRAM-MD5.)

4.7.2. Shell Segura

O programa Secure Shell (SSH) disponibiliza comunicações encriptadas e seguras entre duas máquinas sem confiança sobre uma rede insegura com a autenticação de segurança. Consiste do cliente OpenSSH, ssh(1), e do daemon OpenSSH, sshd(8). Este SSH pode ser usado como túnel de segurança para protocolos de comunicação inseguros como o POP e X pela Internet com a funcionalidade de reencaminhamento de portos.

O cliente tenta autenticar-se a si próprio usando autenticação baseada na máquina, autenticação de chave pública, autenticação por resposta a desafio, ou autenticação por palavra-passe. O uso de autenticação de chave pública activa o login remoto sem-palavra-passe. Veja Secção 6.9, “O servidor de acesso remoto e utilitário (SSH)”.

4.7.3. Medidas de segurança extra para a Internet

Mesmo quando você corre serviços seguros como o Secure Shell (SSH) e servidores de Protocolo de túnel ponto-para-ponto (PPTP), ainda existe hipótese dos invasões que usam ataques de adivinhação da palavra-passe pro força bruta e etc. a partir da Internet. A utilização de politicas de firewall (veja Secção 5.9, “Infraestrutura do netfilter”) juntamente com as seguinte ferramentas de segurança podem melhorar a situação de segurança.

Tabela 4.8. Lista de ferramentas para disponibilizar medidas de segurança extra

pacote popcon tamanho descrição
knockd * V:0.12, I:0.3 164 pequeno daemon port-knock knockd(1) e cliente konck(1)
denyhosts * V:2, I:2 368 utilitário para ajudar os administradores de sistemas a impedir hackers de ssh
fail2ban * V:5, I:6 672 banir IPs que causam erros de autenticação múltipla
libpam-shield * V:0.01, I:0.05 104 bloquear atacantes remotos que tentam adivinhar a palavra-passe

4.7.4. Tornar a palavra-passe do root segura

Para prevenir que pessoas acedam à sua máquina com privilégios de root, você precisa de tomar as seguintes acções.

  • Prevenir acesso físico ao disco rijo

  • Bloquear a BIOS e prevenir o arranque a partir de medias amovíveis

  • Define palavra-passe para sessão interactiva do GRUB

  • Bloquear o menu do GRUB de ser editado

Com acesso físico ao disco rijo, reiniciar a palavra-passe é relativamente fácil com os seguintes passos.

  1. Mover o disco rijo para um PC com uma BIOS com arranque a partir de CD.

  2. Arrancar o sistema com uma media de recuperação (disco de arranque Debian, CD Knoppix, CD GRUB, ...)

  3. Montar a partição raiz com acesso de leitura/escrita.

  4. Edite "/etc/passwd" na partição raiz e torne a segunda entrada para a conta root vazia.

Se você tem o acesso de edição à entrada do menu do GRUB (veja Secção 3.3, “Estágio 2: o gestor de arranque (boot loader)”) para grub-rescue-pc no momento do arranque, é ainda mais fácil com os seguintes passos.

  1. Arranque o sistema com o parâmetro de kernel alterado para algo como "root=/dev/hda6 rw init=/bin/sh".

  2. Edite "/etc/passwd" e torne a segunda entrada para a conta root vazia.

  3. Reiniciar o sistema.

A shell de root do sistema está agora acessível sem palavra-passe.

[Nota] Nota

Após alguém ter acesso à shell de root, pode aceder a tudo no sistema e reiniciar quaisquer palavras-passe no sistema. Mais ainda, pode comprometer a palavra-passe para todas as contas de utilizadores usando ferramentas de de crack de palavra-passe por força bruta como os pacotes john e crack (veja Secção 9.6.11, “Segurança do sistema e verificação de integridade”). Esta palavra-passe descoberta pode levar a comprometer outros sistemas.

A única solução de software razoável para evitar estas preocupações é usar uma partição raiz encriptada por software (ou uma partição "/etc" usando dm-crypt e initramfs (veja Secção 9.4, “Dicas de encriptação de dados”). Assim, você vai sempre precisar de palavra-passe para arrancar o sistema.