Seguridad en la Clave del Root

Forums: 

Hola a Todos...

Quiero saber como dar mas seguridad a la clave de root.

Ya que de esta forma se puede borrar la anterior y poner otra nueva:

El procedimiento con GRUB seria:

1- reiniciar el equipo
2- Al presentar la ventana para seleccionar el sistema operativo, nos colocamos en la que corresponde a nuestra distribución pulsamos 'e' para entrar al modo de edición.
3- En la siguiente ventana veremos varias líneas, que son los argumentos con los que inicia el sistema, nos colocamos en la que inicia con 'kernel' y pulsamos 'e' para editarla.
4- En la ventana subsecuente separamos con un espacio el texto precedente y escribimos 'single' para iniciar en modo monousuario. Pulsamos enter al terminar.
5- Debemos ver como se adicionó 'single' a la línea editada, con lo que pulsamos 'b' para iniciar el sistema.
6- Al entrar en modo de terminal, tenemos la cuenta del superadministrador, por lo que ya podemos cambiar la contraseña de root y reiniciamos el equipo para que tome efecto el cambio.

passwd root
reboot

y cualquiera lo podria hacer, como hago o como bloqueo eso para que nadie pueda acceder por esa via..

Saludos

Prueba con esto:echo

Imagen de deathUser

Prueba con esto:

echo passwordProteccionGrub | md5sum
344832156b338b881f350be76f1def3d
echo "password --md5 344832156b338b881f350be76f1def3d >> /boot/grub/grub.conf"
grub-install /dev/deviceBootLoader

Es probable que tengas que reubicar la linea password en el grub.conf, revisa el manual de grub para más detalles

bye
:)

Observaciones en Seguridad...

Imagen de deathUser

Claro está que protegiendo el bootLoader poteges de alguna manera el acceso no autorizado a tu server, pero al tener acceso físico al equipo puedes arrancar desde otros dispositivos, CDs, Diskettes, USBs ...

Deberás acompañar esto por lo tanto con una buena protección por ejemplo desde la BIOS de la máquina, y por que no, pensar en seguridad física de tus instalaciones, ya que si lo tienes bien protegido pero tienen acceso físico, quien te asegura que no abran la máquina y reseteen el BIOS, te saquen el disco o por último le metan una patada a tu servidor o se lo lleven :).

Debes por tanto conjugar tus esquemas de seguridad de una manera que te garantice una tranquilidad sin ser paranoico y ajustandote a tus presupuestos :)

bye
:)

Claro que la paranoia

Imagen de deathUser

Claro que la paranoia vendrá cuando traten de ponerle precio a lo invaluable...

En cierta ocación alguien borró (no se si accidentalmente) la información de un proyecto de investigación, el cual nunca fue catalogado, y por ende, nadie pudo saber nunca cuan valiosa fue la información perdida ...

Que pasó con los backups ???
Si nadie cataloga la información como importante o sigue los criterios de manejo de la información considerados como estándares dentro de la empresa, como saber que es importante y respaldar dicha información ???

Luego nos catalogan de paranoicos, eso pasa cuando les tocamos el presupuesto, ahí es cuando dicen, no seas paranóico, como va a pasar eso ???

Bueno pues, tienen que evaluar cuanto cuesta esa información y cuanto van a gastar en protegerla y ya con esos parametros pues ajustamos nuestros parámetros de protección, eso sí hay que hacerles firmar las limitaciones que han aceptado como suficientes para proteger su bien, si después resulta que no fue suficiente (por estar fuera de su presupuesto, o del alcance aceptado...), al menos estamos protegidos :)

bye
:)

Solo cuando ya se ha perdido

Imagen de kfirmad Kronsage

Solo cuando ya se ha perdido todo recién se dan cuenta de la importancia de las seguridades físicas, lógicas, etc.

Lo peor es que por más que se les demuestra por escrito, con casos reales y demás criterios de peso, no les da la gana y no les da la gana y allí es cuando a nosotros nos toca hacernos 8 para la menos estar con los pantalones bien amarrados...

En fin...

Pero volviendo al punto de este post, que tal si no se instala el grub (porque creo que se puede hacer eso) o en todo caso se le pone el tiempo de espera en 0, bueno, es lo que se me ocurre.

----------------------------
Cada día más Grande... y no lo detiene nadie!!

Si no es grub tiene que ser

Imagen de deathUser

Si no es grub tiene que ser otro bootloader (lilo, etc...), puedes llegar a necesitar arrancar en sigle user para dar mantenimiento, pero si tu tienes el control lo podrías hacer arrancando con un diskkete o CD creado para el caso (activando previamente la opcción en el BIOS, que hay que desactivarla para evitar a los huevones que te vayan a instalar windows en tu server :) ).

Hay varias opciones, dependiendo de lo que se necesite o desee hacer

bye
:)

Linux no basa la seguridad

Imagen de Epe

Linux no basa la seguridad en la oscuridad, esto es, si alguien requiere cambiar la clave que ha perdido puede montar el disco en otro linux, o ejecutar desde un CD de rescate (o usb).

por más que le pongas clave al grub, se descubrirá.

Linux, unix en general, recaen mucho en la seguridad física, no hay tema de conversación ahí, sin una correcta seguridad física estás a mano del que logre tocar la máquina.

Recuerdo hace unos años Telconet le ponía (no sé si le siga poniendo) claves en el grub a las máquinas linux que instalaban en los clientes en algunos lugares para hacer CBQ, con eso controlaban el ancho de banda pues parece que en aquel momento no tenían una forma mejor. No le daban la clave al usuario y ponían estas barreras y así evitaban que el usuario se subiera el ancho de banda él solito. Sólo que la máquina quedaba donde el usuario.

Así que ante la necesidad que tuve una vez de usar una PC de esas, la arranqué desde CD en linux rescue y le dejé en blanco el segundo campo de la primera línea de /etc/passwd (quité la x a la clave de root), reinicié la máquina y listo, ya tenía acceso, resolví mi problema y ellos no tuvieron que intervenir (ni podían pues era domingo y no aparecían a las llamadas además que era penoso molestarles) ni se enteraron, al finalizar le devolví la x a su lugar y todo feliz.

Esto no es un caso aislado, muchas personas piensan que protegiendo el grub protegerán la clave de root.

Realmente el sistema linux no te encripta nada (el FS) a no ser que lo pidas. El proteger el grub puede brindarte cierta seguridad al desconocedor o al que no tiene mayor motivación para quitar la clave temporal o permanentemente.

Si deseas algo más de seguridad puedes intentar verificar e implementar un documento que puse hace unos días sobre el uso de los loops encriptados, lo uso en mi laptop, pero te trae otra cosa qué pensar y es que mientras la máquina esté encendida es asequible por parte del que obtenga un shell, todo es una cadena.

Y el evitar que le pongan las manos encima a tu servidor es una labor importante, crucial.

Saludos
epe
--
EcuaLinux.com
Ecuador: +(593) 9 9246504, +(593) 2 3412402
USA: +1 404 795 0321

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

Toda la razón

Imagen de antares

En efecto, la clave en el grub mejora en algo pero si tienes acceso físico al server puedes hacer maravillas. Alguna vez arranqué el servidor que dejó un proveedor X con un simple booteable de knoppix, entré al grub.conf y le borré la línea de la clave md5 creada. Al arrancar nuevamente el server ya pude entrar al grub y darle un linux single y voila!

Usar encriptación en el sistema de archivos me parece una opción razonable (no he jugado con eso para ser franco) y sobre todo concuerdo en que la seguridad física es primordial, con un shell remoto no puedes hacer lo mismo que puedes estando junto al server. Y sobre la clave del Bios, mmmmmm...... el clásico jumper que borra el bios lo resuelve facilito... siempre y cuando tengamos acceso físico al server.

Así que a cuidar el acceso físico....

Saludos,

antares

Páginas