Índice
Quando uma pessoa (ou um programa) requer acesso ao sistema, a autenticação confirma a identidade para ser de confiança.
![]() |
Atenção |
---|---|
Erros de configuração do PAM podem trancá-lo fora do seu sistema. Você tem de ter um CD de recuperação à mão ou arrancar por uma partição de arranque alternativa. Para recuperar, arranque o sistema com eles e corrija as coisas a partir daí. |
A autenticação normal do Unix é disponibilizada pelo módulo
pam_unix(8)
sob PAM (Pluggable
Authentication Modules). Os seus 3 ficheiros de configuração
importantes, com entradas separadas por ":
", são os
seguintes.
Tabela 4.1. 3 ficheiros de configuração importantes para pam_unix(8)
ficheiro | permissão | utilizador | grupo | descrição |
---|---|---|---|---|
/etc/passwd
|
-rw-r--r--
|
root
|
root
|
informação da conta do utilizador (higienizada) |
/etc/shadow
|
-rw-r-----
|
root
|
shadow
|
informação segura da conta do utilizador |
/etc/group
|
-rw-r--r--
|
root
|
root
|
informação do grupo |
"/etc/passwd
" contém o seguinte.
... utilizador1:x:1000:1000:Nome de Utilizador1,,,:/home/utilizador1:/bin/bash utilizador2:x:1001:1001:Nome de Utilizador2,,,:/home/utilizador2:/bin/bash ...
Como explicado em
passwd(5),
cada entrada ":
" separada neste ficheiro significa o
seguinte.
Nome de login
Entrada de especificação de palavra-passe
ID numérico do utilizador
ID numérico do grupo
Nome de utilizador ou campo de comentários
Directório home do utilizador
Interpretador de comandos opcional do utilizador
A segunda entrada de "/etc/passwd
" foi usada para a
entrada de palavra-passe encriptada. Após a introdução de
"/etc/shadow
", esta entrada é usada para a entrada de
especificação da palavra-passe.
Tabela 4.2. A segunda entrada no conteúdo de "/etc/passwd
"
conteúdo | significado |
---|---|
(vazio) | conta sem palavra-passe |
x |
a palavra-passe encriptada está em "/etc/shadow "
|
* | nenhum login para esta conta |
! | nenhum login para esta conta |
"/etc/shadow
" contém o seguinte.
... user1:$1$Xop0FYH9$IfxyQwBe9b8tiyIkt2P4F/:13262:0:99999:7::: user2:$1$vXGZLVbS$ElyErNf/agUDsm1DehJMS/:13261:0:99999:7::: ...
Como explicado em
shadow(5),
cada entrada ":
" separada neste ficheiro significa o
seguinte.
Nome de login
Palavra-passe encriptada (O "$1$
" inicial indica o uso de
encriptação MD5. O "*" indica nenhum login.)
Dias desde Jan 1, 1970 que essa palavra-passe foi alterada
Dias antes da palavra-passe poder ser alterada
Dias após os quais a palavra-passe tem de ser alterada
Dias de aviso ao utilizador antes da palavra-passe expirar
…
"/etc/group
" contém o seguinte.
grupo1:x:20:utilizador1,utilizador2
Como explicado em
grupo(5),
cada entrada ":
" separada neste ficheiro significa o
seguinte.
Nome do grupo
Palavra-passe encriptada (não usada na realidade)
ID numérico do grupo
lista separada por "," de nomes de utilizadores
![]() |
Nota |
---|---|
" |
![]() |
Nota |
---|---|
A quantidade de membros real de um grupo de um utilizador pode ser
adicionada dinamicamente se a linha " |
![]() |
Nota |
---|---|
O pacote |
Aqui estão alguns comandos notáveis para gerir informação de conta
Tabela 4.3. Lista de comandos para gerir informação de conta
comando | função |
---|---|
getent passwd <nome_de_utilizador>
|
navegar na informação da conta de
"<nome_de_utilizador> "
|
getent shadow <nome_de_utilizador>
|
explora informação confidencial (shadow) da conta de
"<nome_de_utilizador>
|
getent group <nome_de_grupo>
|
navegar na informação do grupo de "<nome_do_grupo> "
|
passwd
|
gere a palavra-passe da conta |
passwd -e
|
definir palavra-passe de uma-vez para a activação da conta |
chage
|
gerir a informação de envelhecimento da palavra-passe |
Você pode precisar de ter privilégios de root para algumas funções funcionarem. Veja crypt(3) para a encriptação de palavra passe e dados.
![]() |
Nota |
---|---|
Num sistema configurado com PAM e NSS como a máquina alioth de Debian, o conteúdo dos
" |
Quando criar uma conta durante a instalação do seu sistema ou com o comando passwd(1), você deve escolher uma boa palavra passe que consiste de 6 a 8 caracteres incluindo um ou mais caracteres de cada um dos seguintes conjuntos de acordo com passwd(1).
Alfabéticos de minúsculas
Dígitos de 0 a 9
Marcas de pontuação
![]() |
Atenção |
---|---|
Não escolha palavras que podem ser adivinhadas para a palavra-passe. |
Existem ferramentas independentes para gerar palavras-passe encriptadas salgadas.
Tabela 4.4. Lista de ferramentas para gerar palavras-passe
pacote | popcon | tamanho | comando | função |
---|---|---|---|---|
whois
*
|
V:11, I:89 | 154 |
mkpasswd
|
frontend cheiro de funcionalidades para a biblioteca crypt(3) |
openssl *
|
V:69, I:95 | 1053 |
openssl passwd
|
computa hashes de palavras passe (OpenSSL). passwd(1ssl) |
Os sistemas modernos tipo-Unix como o sistema Debian disponibilizam mecanismos PAM (Pluggable Authentication Modules) e NSS (Name Service Switch) para o administrador local configurar o seu sistema. O papel destes pode ser resumido ao seguinte.
O PAM oferece um mecanismo de autenticação flexível usado pelo software de aplicações e assim involve trocas de dados de palavra-passe.
O NSS oferece um mecanismo de serviço de nomes flexível que é usado frequentemente pela biblioteca C standard para obter o nome de utilizador e grupo para programas como o ls(1) e o id(1).
Estes sistemas PAM e NSS precisam de ser configurados de modo consistente.
Os pacotes notáveis dos sistemas PAM e NSS são os seguintes.
Tabela 4.5. Lista de sistemas PAM e NSS notáveis
pacote | popcon | tamanho | descrição |
---|---|---|---|
libpam-modules *
|
V:88, I:99 | 813 | Pluggable Authentication Modules (serviço básico) |
libpam-ldap *
|
V:2, I:3 | 408 | Pluggable Authentication Module que permite interfaces LDAP |
libpam-cracklib *
|
V:2, I:2 | 138 | Pluggable Authentication Module para activar suporte a cracklib |
libpam-doc *
|
I:0.4 | 986 | Pluggable Authentication Modules (documentação em html e texto) |
libc6
*
|
V:96, I:99 | 10060 | GNU C Library: Bibliotecas de partilha que também disponibilizam o serviço "Name Service Switch" |
glibc-doc *
|
I:2 | 1992 | Biblioteca GNU C: Manuais (manpages) |
glibc-doc-reference *
|
I:1.0 | 11816 | Biblioteca GNU C: Manual de referência em info, pdf e html (não-livre) |
libnss-mdns *
|
I:52 | 144 | Módulo NSS para resolução de nomes Multicast DNS |
libnss-ldap *
|
I:3 | 268 | Módulo NSS para usar o LDAP como um serviço nomeador |
libnss-ldapd *
|
V:0.14, I:0.9 | 124 |
Módulo NSS para usar o LDAP como um serviço nomeador (nova bifurcação de
libnss-ldap )
|
"O Guia do Administrador do Sistema Linux-PAM" em
libpam-doc
é essencial para aprender configuração do PAM.
A secção "System Databases e Name Service Switch" em
glibc-doc-reference
é essencial para aprender a
configuração do NSS.
![]() |
Nota |
---|---|
Você pode ver uma lista mais extensa e actual pelo comando
" |
![]() |
Nota |
---|---|
PAM é a maneira mais básica de inicializar variáveis de ambiente para cada programa com o valor predefinido de todo o sistema. |
Aqui estão alguns ficheiros de configuração notáveis acedidos pelo PAM.
Tabela 4.6. Lista de ficheiros de configuração acedidos pelo PAM
ficheiro de configuração | função |
---|---|
/etc/pam.d/<nome_do_programa>
|
defina a configuração do PAM para o programa
"<nome_do_programa> "; veja
pam(7)
e
pam.d(5)
|
/etc/nsswitch.conf
|
define a configuração NSS com a entrada para cada serviço. Veja nsswitch.conf(5) |
/etc/nologin
|
limita o login de utilizador pelo módulo pam_nologin(8) |
/etc/securetty
|
limita a tty para o acesso de root pelo módulo pam_securetty(8) |
/etc/security/access.conf
|
define limites de acesso pelo módulo pam_access(8) |
/etc/security/group.conf
|
define a restrição baseada em grupo pelo módulo pam_group(8) |
/etc/security/pam_env.conf
|
define as variáveis de ambiente pelo módulo pam_env(8) |
/etc/environment
|
define variáveis de ambiente adicionais pelo módulo
pam_env(8)
com o argumento "readenv=1 "
|
/etc/default/locale
|
define o locale pelo módulo
pam_env(8)
com o argumento "readenv=1 envfile=/etc/default/locale "
(Debian)
|
/etc/security/limits.conf
|
define restrição de recursos (ulimit, core, …) pelo módulo pam_linits(8) |
/etc/security/time.conf
|
define a retenção de tempo pelo módulo pam_time(8) |
A limitação da selecção da palavra-passe é implementada pelos módulos do PAM, pam_unix(8) e pam_cracklib(8). Eles podem ser configurados com os seus argumentos.
![]() |
Dica |
---|---|
Os módulos PAM usam o sufixo " |
A moderna gestão de sistema centralizada pode ser implantada usando o servidor Lightweight Directory Access Protocol (LDAP) centralizado para administrar muitos sistema tipo-Unix e não-tipo-Unix na rede. A implementação de código aberto do Lightweight Directory Access Protocol é o Software OpenLDAP.
O servidor LDAP disponibiliza a informação de conta através do uso de PAM e
NSS com os pacotes libpam-ldap
e
libnss-ldap
para o sistema Debian. São necessárias várias
acções para activar isto (Eu não use esta configuração e o seguinte é
puramente informação secundária. Por favor leia isto neste contexto.).
Você configura um servidor LDAP centralizado ao correr um programa como o daemon de LDAP autónomo slapd(8).
Você altera os ficheiros de configuração do PAM no directório
"/etc/pam.d/
" para usar "pam_ldap.so
"
em vez do predefinido "pam_unix.so
".
Debian usa "/etc/pam_ldap.conf
" como ficheiro de
configuração para libpam-ldap
e
"/etc/pam_ldap.secret
" como ficheiro para armazenar a
palavra-passe do root.
Você altera a configuração do NSS no ficheiro
"/etc/nsswitch.conf
" para usar "ldap
"
em vez da predefinição("compat
" ou
"file
").
Debian usa o "/etc/libnss-ldap.conf
" como o ficheiro de
configuração para libnss-ldap
.
Você tem de fazer libpam-ldap
para usar a ligação SSL (ou TLS) para a segurança da palavra-passe.
Você pode fazer a libnss-ldap
usar ligação SSL (ou TLS) para assegurar a integridade dos dados
à custa de sobrecarga da rede LDAP.
Você deve correr o nscd(8) localmente para colocar em cache quaisquer resultados de busca LDAP de modo a reduzir o tráfego de rede do LDAP.
Veja as documentações em
pam_ldap.conf(5)
e "/usr/share/doc/libpam-doc/html/
" oferecidas pelo
pacote libpam-doc
e "info libc 'Name Service
Switch'
" oferecida pelo pacote glibc-doc
.
De modo semelhante, você pode configurar sistemas centralizados alternativos com outros métodos.
Integration of user and group with the Windows system.
Access Windows domain services by the
winbind
and libpam_winbind
packages.
See winbindd(8) and Integrating MS Windows Networks with Samba.
Integration user and group with the legacy Unix-like system.
Access NIS (originally called
YP) or NIS+ by the nis
package.
Esta é a famosa frase no fundo da antiga página "info su
"
por Richard M. Stallman. Não se preocupe, o comando su
actual em Debian usa PAM, portanto esse pode restringir a habilidade de usar
su
ao grupo root
ao activar a linha
com "pam_wheel.so
" em "/etc/pam.d/su
".
Instalar o pacote libpam-cracklib
permite-lhe forçar
regras de palavra-passe rigorosas, por exemplo, ao ter linhas activas em
"/etc/pam.d/common-password
" como se segue.
Para squeeze
:
password required pam_cracklib.so retry=3 minlen=9 difok=3 password [success=1 default=ignore] pam_unix.so use_authtok nullok md5 password requisite pam_deny.so password required pam_permit.so
![]() |
Nota |
---|---|
Veja Secção 9.5.15, “Tecla Alt-SysRq” para restringir a funcionalidade do kernel chave de atenção segura (SAK). |
O
sudo(8)
é um programa desenhado para permitir a um administrador de sistema dar
privilégios de root limitados a utilizadores e registar a actividade do
root. O sudo
requer apenas a palavra-passe de um
utilizador normal. Instale o pacote sudo
e active-o ao
definir opções em "/etc/sudoers
". Veja um exemplo de
configuração em "/usr/share/doc/sudo/examples/sudoers
".
A minha utilização do sudo
para o sistema de único
utilizador (veja Secção 1.1.12, “Configuração do sudo”) destina-se a
proteger-me da minha própria estupidez. Pessoalmente, Eu considero usar o
sudo
uma melhor alternativa do que usar o sistema a
partir da conta de root a toda a hora. Por exemplo, o seguinte muda o dono
de "<algum_ficheiro>
" para
"<meu_nome>
".
$ sudo chown <meu_nome> <algum_ficheiro>
Claro que se você conhecer a palavra-passe de root (como os utilizadores de
sistemas Debian auto-instalados conhecem), qualquer comando pode ser
executado sob root a partir da conta de qualquer utilizador usando
"su -c
".
Security-Enhanced Linux (SELinux) é uma estrutura para apertar o modelo de privilégios mais do que o modelo de segurança normal tipo-Unix com as políticas de controle de acesso mandatário (MAC). O poder do root pode estar restringido sob algumas condições.
Para a segurança do sistema, é uma boa ideia desactivar o máximo de programas servidores possível. Isto torna-se crítico em servidores de rede. Ter servidores não usados, activados directamente como daemon ou via programa super-server, são considerados riscos de segurança.
Muito programas, como o sshd(8), usam controles de acesso baseados no PAM. Existem muitas maneiras de restringir o acesso a alguns serviços de servidor.
ficheiros de configuração:
"/etc/default/<nome_do_programa>
"
configuração de runlevel para daemon
"/etc/inetd.conf
" para super-server
"/etc/hosts.deny
" e "/etc/hosts.allow
"
para wrapper de TCP,
tcpd(8)
"/etc/rpc.conf
" para RPC da
Sun
"/etc/at.allow
" e "/etc/at.deny
" para
atd(8)
"/etc/cron.allow
" e "/etc/cron.deny
"
para
crontab(1)
Firewall de Rede da infraestrutura netfilter
Veja Secção 3.5.3, “O exemplo de gestão do runlevel”, Secção 3.5.4, “O parâmetro predefinido para cada script de init”, Secção 4.5.1, “Ficheiros de configuração acedidos pelo PAM e NSS”, Secção 3.5.8, “Inicialização do serviço de rede”, e Secção 5.9, “Infraestrutura do netfilter”.
![]() |
Dica |
---|---|
Se você tem problemas com acesso remoto num sistema Debian recente, comente
configurações ofensivas tais como "ALL: PARANOID" em
" |
A informação aqui pode não ser suficiente para as suas necessidades de segurança, mas deverá ser um bom começo.
Muitos serviços de transporte populares comunicam mensagens incluindo a a autenticação de palavra-passe em texto simples. É má ideia transmitir as palavras-passe em texto simples pela Internet onde podem ser interceptadas. Você pode correr estes serviços sobre "Transport Layer Security" (TLS) ou o seu antecessor, "Secure Sockets Layer" (SSL) para assegurar toda a comunicação incluindo a palavra-passe pela encriptação.
Tabela 4.7. Lista de serviços e portos inseguros e seguros
nome do serviço inseguro | porto | nome do serviço seguro | porto |
---|---|---|---|
www (http) | 80 | https | 443 |
smtp (mail) | 25 | ssmtp (smtps) | 465 |
ftp-data | 20 | ftps-data | 989 |
ftp | 21 | ftps | 990 |
telnet | 23 | telnets | 992 |
imap2 | 143 | imaps | 993 |
pop3 | 110 | pop3s | 995 |
ldap | 389 | ldaps | 636 |
A encriptação custa tempo à CPU. Como uma alternativa amiga da CPU, você pode manter a comunicação em texto simples enquanto segura apenas a palavra-passe com um protocolo de autenticação de segurança como o "Authenticated Post Office Protocol" (APOP) para POP e "Challenge-Response Authentication Mechanism MD5" (CRAM-MD5) para SMTP e IMAP. (Para enviar mensagens de mail pela Internet para o seu servidor de mail a partir do seu cliente de mail, é recentemente popular usar o porto 587 para submissão de novas mensagens em vez do porto 25 tradicional do SMTP para evitar o bloqueio do porto 25 pelo provedor de Internet enquanto você se autentica com CRAM-MD5.)
O programa Secure Shell (SSH) disponibiliza comunicações encriptadas e seguras entre duas máquinas sem confiança sobre uma rede insegura com a autenticação de segurança. Consiste do cliente OpenSSH, ssh(1), e do daemon OpenSSH, sshd(8). Este SSH pode ser usado como túnel de segurança para protocolos de comunicação inseguros como o POP e X pela Internet com a funcionalidade de reencaminhamento de portos.
O cliente tenta autenticar-se a si próprio usando autenticação baseada na máquina, autenticação de chave pública, autenticação por resposta a desafio, ou autenticação por palavra-passe. O uso de autenticação de chave pública activa o login remoto sem-palavra-passe. Veja Secção 6.9, “O servidor de acesso remoto e utilitário (SSH)”.
Mesmo quando você corre serviços seguros como o Secure Shell (SSH) e servidores de Protocolo de túnel ponto-para-ponto (PPTP), ainda existe hipótese dos invasões que usam ataques de adivinhação da palavra-passe pro força bruta e etc. a partir da Internet. A utilização de politicas de firewall (veja Secção 5.9, “Infraestrutura do netfilter”) juntamente com as seguinte ferramentas de segurança podem melhorar a situação de segurança.
Tabela 4.8. Lista de ferramentas para disponibilizar medidas de segurança extra
pacote | popcon | tamanho | descrição |
---|---|---|---|
knockd *
|
V:0.12, I:0.3 | 164 | pequeno daemon port-knock knockd(1) e cliente konck(1) |
denyhosts *
|
V:2, I:2 | 368 | utilitário para ajudar os administradores de sistemas a impedir hackers de ssh |
fail2ban *
|
V:5, I:6 | 672 | banir IPs que causam erros de autenticação múltipla |
libpam-shield *
|
V:0.01, I:0.05 | 104 | bloquear atacantes remotos que tentam adivinhar a palavra-passe |
Para prevenir que pessoas acedam à sua máquina com privilégios de root, você precisa de tomar as seguintes acções.
Prevenir acesso físico ao disco rijo
Bloquear a BIOS e prevenir o arranque a partir de medias amovíveis
Define palavra-passe para sessão interactiva do GRUB
Bloquear o menu do GRUB de ser editado
Com acesso físico ao disco rijo, reiniciar a palavra-passe é relativamente fácil com os seguintes passos.
Mover o disco rijo para um PC com uma BIOS com arranque a partir de CD.
Arrancar o sistema com uma media de recuperação (disco de arranque Debian, CD Knoppix, CD GRUB, ...)
Montar a partição raiz com acesso de leitura/escrita.
Edite "/etc/passwd
" na partição raiz e torne a segunda
entrada para a conta root
vazia.
Se você tem o acesso de edição à entrada do menu do GRUB (veja Secção 3.3, “Estágio 2: o gestor de arranque (boot loader)”) para grub-rescue-pc
no momento do arranque, é ainda mais fácil com os seguintes passos.
Arranque o sistema com o parâmetro de kernel alterado para algo como
"root=/dev/hda6 rw init=/bin/sh
".
Edite "/etc/passwd
" e torne a segunda entrada para a
conta root
vazia.
Reiniciar o sistema.
A shell de root do sistema está agora acessível sem palavra-passe.
![]() |
Nota |
---|---|
Após alguém ter acesso à shell de root, pode aceder a tudo no sistema e
reiniciar quaisquer palavras-passe no sistema. Mais ainda, pode comprometer
a palavra-passe para todas as contas de utilizadores usando ferramentas de
de crack de palavra-passe por força bruta como os pacotes
|
A única solução de software razoável para evitar estas preocupações é usar
uma partição raiz encriptada por software (ou uma partição
"/etc
" usando dm-crypt e
initramfs (veja Secção 9.4, “Dicas de encriptação de dados”). Assim, você vai
sempre precisar de palavra-passe para arrancar o sistema.