Autenticação de 3 Camadas em Sistemas Linux/Unix

Escrito por Bruno Guerreiro Diniz

Ter, 17 de Março de 2009 09:31

Uma das principais recomendações das auditorias de segurança da informação é a questão de privilégios administrativos. No mundo Linux/Unix é muito comum que este controle não seja implementado como deveria, devido a própria arquitetura de privilégios. Como uma das formas de controle de acesso podemos citar a utilização de ACLs POSIX, porém uma outra possibilidade é descrita a seguir para implementar a autenticação em camadas, incluindo o accounting de comandos.

Autenticação de 3 Camadas em Sistemas Linux/Unix

Acesso Local / Remoto

Como primeiro nível de autenticação, devemos configurar o acesso de um usuário convencional ao computador.

Criando um Grupo para os usuários.

Este grupo será utilizado pelos usuários convencionais para ter acesso ao host e se transformar em usuário privilegiado.

#groupadd "nome do grupo primário"

Incluindo um usuário

Este usuário será a primeira forma de acesso de um administrador/usuário ao host em questão.

#useradd –g users "nome do usuário"

Colocando o usuário no grupo primário:

#usermod –a –G "nome do grupo primário" "nome do usuário"

Obs.: Isso pode ser feito através de uma só linha de comando, da seguinte forma:

# useradd –g users –G "nome do grupo primário" "nome do usuário"

Console

Autorizando o acesso a console local apenas aos usuários do grupo de acesso.

Desativando acesso de root nos Terminais TTY:

Comentar todas as entradas TTY no arquivo /etc/securetty.

Liberando acesso para os usuários de administração nos terminais:

Incluir a linha abaixo no arquivo /etc/pam.d/login

auth required pam_wheel.so group="nome do grupo primário" root_only trust

SSH

Autorizando o acesso ao SSH apenas aos usuários do grupo de acesso. (sshd_config)

Desativando Acesso de Root no SSH

PermitRootLogin no

Ativando Acesso do Grupo Primário

AllowGroups "nome do grupo primário"

Limites de Tempo e Acesso

Como segurança adicional, podemos ainda:

Limitar o número de logons simultâneos:

Incluir a seguinte linha abaixo no arquivo /etc/security/limits.conf (Necessário que o pam_limits.so esteja sendo utilizando no PAM)

@"nome do grupo primário" - maxlogins "quantidade de logons simultâneos"

Limitar o tempo de sessão sem atividade:

Incluir as seguintes linhas no arquivo /etc/profile

TMOUT="Tempo de Estouro de Sessão (em segundos)"'
export TMOUT

Usuário Privilegiado

Da mesma forma como o usuário convencional, precisaremos criar um grupo e os usuários privilegiados.

Criando o grupo:

# groupadd "nome do grupo privilegiado"

Criando o Usuário

#useradd –g users "nome do usuário"

Colocando o usuário no grupo privilegiado

#usermod –a –G "nome do grupo privilegiado""nome do usuário"

Obs.: Isso pode ser feito através de uma só linha de comando, da seguinte forma:

#useradd –g users –G "nome do grupo privilegiado" "nome do usuário"

Configurando o SU

Os usuários convencionais poderão transformar-se em usuários privilegiados através do comando SU. Para isso, precisamos configurar o PAM para que apenas os usuários do grupo primário possam utilizá-lo.

Incluir a seguinte linha no arquivo /etc/pam.d/su

auth required pam_wheel.so group="nome do grupo privilegiado"

Funções Administrativas

Agora que o usuário já possui um usuário privilegiado (intermediário) poderemos agora possibilitar o acesso a ferramentas administrativas ao mesmo através do SUDO.

Criando um Command_Alias:

Isso será necessário para proteger o SUDO contra acesso de shells (que possibilitaria o bypass de accounting)

Incluir as seguintes linhas abaixo no arquivo /etc/sudoers

Cmnd_Alias SHELLS = /bin/su, /bin/csh, /bin/sh, /usr/bin/es, /usr/bin/ksh, \
/bin/ksh, /usr/bin/rc, /usr/bin/tcsh,/bin/tcsh, /usr/bin/esh, /bin/bash, \
/bin/rbash

Autorizando Acesso dos Usuários do Grupo Privilegiado a todos os comandos, com exceção dos SHELLS acima.