Como impedir o acesso ao sistema sem senha

Autor: Giorge Henrique Abdala Data: 25/08/2005
Recuperando a senha do root Freqüentemente acontece de um usuário esquecer a senha do administrador e ficar impedido de entrar no sistema. Por essas e outras que sistemas operacionais e gerenciadores de boot, como o GRUB, possuem de "fábrica" opções para recuperar, sem traumas, a senha do root. Apresentarei a seguir algumas maneiras de se recuperar a senha do administrador: a) A maneira dos doidos Inicie o computador e quando aparecer a tela do GRUB para escolher o SO, digite 'c' para ter acesso a linha de comando. No shell "grub>" que aparecer faça: cat (hd0,0)/etc/shadow Como as permissões de acesso não são verificadas, qualquer pessoa pode listar o conteúdo de qualquer arquivo, inclusive o /etc/shadow. Note que é necessário especificar o caminho completo do arquivo, incluindo a partição que se encontra. Não se esqueça que o GRUB utiliza uma nomenclatura um pouco diferente para os dispositivos de discos. Após visualizar o conteúdo, processe uma wordlist e use um programa que, por tentativa e erro, testa as senhas criptografadas. b) A maneira do usuário comum Simples, inicie o sistema com um disquete de boot. c) A maneira mais prática Esse método consiste em entrar no sistema no modo "Single". Para isso digite 'e' na tela de inicialização do GRUB para poder editar as opções de boot. Você irá ver algo como: kernel = (hd1,2)/boot/vmlinuz-2.6.11-72032U10_17cl root=/dev/hdb3 vga=0x317 splash=silent 3 initrd = (hd1,2)/boot/initrd-2.6.11-72032U10_17cl Troque o runlevel de 3 para 1 e faça o boot ( e 'b'). O sistema irá entrar em modo Single (manutenção) sem a necessidade de uma senha. Após, mude a senha do administrador ou deixe em branco o campo correspondente no /etc/passwd. d) Mais prático ainda Troque o runlevel do GRUB para: init=/bin/bash O sistema não pedirá senha e será montado em modo somente leitura. No prompt iniciado digite: Para remontar o '/' em modo leitura-escrita: # mount -o remount rw / Para mudar a senha root: # password root
Impedindo o acesso sem senha Para impedir que alguém não autorizado tenha acesso total usando qualquer uma das opções citadas, siga os seguintes passos. Edite o /etc/inittab e verifique se existe uma linha parecida com: su:S:wait:/etc/rc.d/rc.sulogin Essa linha diz ao sistema para, quando iniciado no modo Single, executar o arquivo /etc/rc.d/sulogin. Seguindo a lógica, edite o script /etc/rc.d/sulogin e adicione a linha: sulogin -p Isso forçará o sistema a pedir a senha root sempre que for iniciado no modo manutenção. Com o procedimento anterior, padrão em muitas distribuições, você impede o acesso no modo single, porém, ainda é possível o acesso sem senha trocando o runlevel para "init=/bin/bash". Para evitar faça: Entre na linha de comando do GRUB: # grub Criptografe uma senha a ser usada no GRUB: grub> md5crypt Digite a senha a ser criptografada: password: ********* A saída do comando será a senha criptografada, algo como: encrypted: $1$2atu01$qdxmcgaxxw0pehytdvixo. Edite o arquivo /boot/grub/menu.lst e adicione, no início do arquivo a seguinte linha: password = --md5 Lembrando que "" deverá ser trocado pelos caracteres obtidos com o md5crypt do GRUB. Salve o /boot/grub/menu.lst e retire a permissão de escrita e leitura de todos os usuários. Reinicie a máquina e tente editar os parâmetros do GRUB ou entrar na linha de comando, para ver o que acontece. Repare que colocar senha no GRUB evita também o acesso pelo modo Single e a visualização de arquivos confidenciais, pois a edição dos parâmetros do GRUB e a linha de comando ficam restritas a quem possuir a senha. Se você quiser, pode adicionar "lock", logo após a linha de senha no menu.lst, e forçar o GRUB pedir senha até mesmo para iniciar uma partição. Se preferir, adicione "password = --md5 " e "lock" nas opções de cada Sistema Operacional "setado" no menu.lst e configure uma senha diferente para cada SO. Para aumentar ainda mais a segurança, coloque senha no setup, para impedir que mudem a seqüência de boot. Isso irá evitar acesso com um disquete de recuperação. A opção de senha também pode ser usada com o lilo. Para mais informações consulte: info grub, man lilo http://www.gnu.org/software/grub/ http://tldp.org/HOWTO/LILO.html
http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=3022 Voltar para o site