Download - OoCities

Capítulo 40. Restrições de acesso, recursos e serviços
624
• Segundo campo - Contém o login, grupo. O formato usuário@computador pode ser
usado para conferir com usuários que acessam de determinadas máquinas. Caso existam mais de um parâmetro, estes devem ser separados usando espaços. As palavras
chave ALL (todos) e EXCEPT (exceção) e console também podem ser usadas.
• Terceiro campo - Lista de terminais (tty - na forma listada pelo ttyname), nomes de
máquinas, nomes de domínios (começando com ”.“), endereços IP ou FQDN, porção de
rede (finalizando com um ”.“). As palavras chave ALL (todos) e LOCAL (máquinas na
mesma rede) também podem ser usadas.
OBS1: - A configuração padrão do access.conf é garantir o acesso a todos os usuários,
através de qualquer lugar (permissiva).
OBS2:: Mesmo se existir uma regra autorizando o acesso ao usuário, as restantes serão verificadas em busca de uma que bloqueie o acesso do usuário. Se nenhuma regra conferir, o
usuário terá acesso garantido.
OBS3: - O nome de grupo somente é checado quando nenhum nome de usuário confere com
nenhum usuário logado no sistema.
OBS4: - Grupos/usuários NIS podem ser especificados precedendo o nome do usuário ou
grupo por uma ”@“.
Abaixo uma configuração restrita de /etc/security/access.conf:
#
# Desabilita o login de todos os usuários EXCETO o root no terminal tty1
-:ALL EXCEPT root:tty1
# Permite o login no console de todos os usuários especificados.
+:gleydson root:console
# Conexões vindas da rede *.debian.org e *.debian.org.br de usuários pertencen
# ao grupo operadores são consideradas seguras (exceto para o usuário root).
+:operadores EXCEPT root: .debian.org .debian.org.br
# Qualquer outra tentativa de acesso não definida acima é bloqueada imediatame
-: ALL: ALL
40.2.4
Restringindo o acesso a root no su
A restrição de acesso a usuário root pelo PAM funciona permitindo que somente alguns usuários que pertençam a um grupo criado pelo administrador possam se tornar o superusuário
usando o comando su. Esta restrição funciona até mesmo para os usuários que possuem a
senha correta de root, retornando uma mensagem de login ou senha incorretos. Isto é extremamente útil para restrições de acesso.
Um outro ponto positivo é caso ocorra um possível acesso não autorizado em seu sistema ou
um daemon seja corrompido e o atacante cair em um shell, ele não poderá obter root na