NFsec Logo

Blokada [CTRL]+[ALT]+[DEL]

21/12/2009 w Bezpieczeństwo Brak komentarzy.  (artykuł nr 207, ilość słów: 320)

N

asze serwery znajdują się w bardzo dobrze strzeżonych miejscach, z brakiem możliwości dostania się do nich, co najmniej bez posiadania kluczyka do przysłowiowej „szafy”. – Niestety nie wszystkie maszyny mają to szczęście. Dlatego z wielu powodów nie powinniśmy udostępniać każdemu użytkownikowi i „przechodniowi” znajdującemu się przy klawiaturze naszego serwera możliwości przeładowania systemu za pomocą „trzech króli”, czyli kombinacji klawiszy Ctrl+Alt+Delete.

W Slackware funkcję tą możemy zablokować poprzez umieszczenia w pliku /etc/inittab znaku komentarza (#) przed wierszem posiadającym następującą składnię:

ca::ctrlaltdel:/bin/shutdown -t3 -r now

lub w Debianie:

ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now

Następnie w celu wprowadzenia zmian należy przeładować init poleceniem: init q. Teraz przeładowanie lub zatrzymanie systemu będzie możliwe poprzez wydanie poleceń: shutdown, halt lub reboot. Powinniśmy zadbać o to, aby dostęp do tych komend posiadały tylko odpowiedzialne osoby. W celu dopuszczenia wyselekcjonowanych użytkowników do używania kombinacji trzech klawiszy należy po wyżej wymienionym wierszu dodać parametr: -a. Tak więc składnia przyjmie postać podobnej do tej z Debiana:

ca::ctrlaltdel:/bin/shutdown -a -t3 -r now

Następnie należy stworzyć plik shutdown.allow, który powinien znaleźć się w katalogu /etc (touch /etc/shutdown.allow). W pliku tym umieszczamy nazwy użytkowników, którzy są upoważnieni do fizycznego restartu serwera (wpisy powinny być tworzone według schematu: użytkownik na jedną linię, czyli jeden pod drugim, a maksymalna liczba użytkowników, którzy mogą się w nim znaleźć wynosi 32). Teraz program shutdown przed wykonaniem czynności restartujących najpierw sprawdzi istnienie pliku shutdown.allow – jeśli on istnieje to nastąpi porównanie w nim zawartych wpisów z zalogowanym użytkownikiem na wirtualnej konsoli (poprzez odczytanie informacji z pliku /var/run/utmp). Jeśli zostanie odnaleziony użytkownik, który rezyduje w pliku autoryzacyjnym programu shutdown restart systemu zostanie wykonany. W przeciwnym wypadku zostanie wyświetlony komunikat: shutdown: no authorized users logged in. Wadą tego ograniczenia jest, iż w przypadku kiedy na lokalnej konsoli serwera jest zalogowanych dwóch użytkowników z czego tylko jeden jest wpisany do pliku shutdown.allow, to drugi może wykorzystać fakt jego obecności na konsoli i zrestartować serwer poprzez użycie danej kombinacji klawiszy.

Więcej informacji: man shutdown

Kategorie K a t e g o r i e : Bezpieczeństwo

Tagi T a g i : , , , ,

Zostaw odpowiedź.

Musisz być zalogowany by móc komentować.