Capítulo 4. Authentication and access controls

Índice

4.1. Autenticação normal de Unix
4.2. Gerir informação de conta e palavra-passe
4.3. Boa palavra-passe
4.4. Criar palavra-passe encriptada
4.5. PAM e NSS
4.5.1. Ficheiros de configuração acedidos pelo PAM e NSS
4.5.2. O moderno sistema de gestão centralizado
4.5.3. "Porque o su do GNU não suporta o grupo wheel"
4.5.4. Regras de palavra-passe rigorosas
4.6. Segurança da autenticação
4.6.1. Palavra-passe segura na Internet
4.6.2. Shell Segura
4.6.3. Medidas de segurança extra para a Internet
4.6.4. Tornar a palavra-passe do root segura
4.7. Outros controles de acesso
4.7.1. Access control lists (ACLs)
4.7.2. sudo
4.7.3. PolicyKit
4.7.4. Recadeiair acesso a alguns serviços de servidor
4.7.5. Linux security features

Quando uma pessoa (ou programa) requer acesso ao sistema, a autenticação confirma a identidade para ser de confiança.

[Atenção] Atenção

Erros de configuração do PAM podem trancá-lo fora do seu sistema. Terá de ter um CD de recuperação à mão ou arrancar por uma partição de arranque alternativa. Para recuperar, arranque o sistema com eles e corrija a partir daí.

A autenticação normal de Unix é disponibilizada pelo módulo pam_unix(8) sob PAM (Pluggable Authentication Modules). Os seus 3 ficheiros de configuração importantes, com entradas separadas por ":", são os seguintes.


"/etc/passwd" contém o seguinte.

 ...
user1:x:1000:1000:User1 Name,,,:/home/user1:/bin/bash
user2:x:1001:1001:User2 Name,,,:/home/user2:/bin/bash
 ...

Como explicado em passwd(5), cada entrada separada por ":" neste ficheiro significa o seguinte.

  • Nome de login

  • Entrada de especificação de palavra-passe

  • ID numérico do utilizador

  • ID numérico do grupo

  • Nome de utilizador ou campo de comentários

  • Directório home do utilizador

  • Interpretador de comandos opcional do utilizador

A segunda entrada de "/etc/passwd" foi utilizada para a entrada de palavra-passe encriptada. Após a introdução de "/etc/shadow", esta entrada é utilizada para a entrada de especificação da palavra-passe.


"/etc/shadow" contém o seguinte.

 ...
user1:$1$Xop0FYH9$IfxyQwBe9b8tiyIkt2P4F/:13262:0:99999:7:::
user2:$1$vXGZLVbS$ElyErNf/agUDsm1DehJMS/:13261:0:99999:7:::
 ...

Como explicado em shadow(5), cada entrada separada por ":" neste ficheiro significa o seguinte:

  • Nome de login

  • Palavra-passe encriptada (O "$1$" inicial indica o uso de encriptação MD5. O "*" indica nenhum login.)

  • Data da última alteração da palavra-passe, expressada a quantidade de dias desde 1 de Janeiro de 1970

  • Quantidade de dias que o utilizador terá que esperar antes de ser-lhe permitido alterar a palavra-passe outra vez

  • Quantidade de dias após os quais o utilizador terá que alterar a palavra passe dele

  • Quantidade de dias antes de uma palavra-passe expirar durante o qual o utilizador deve ser avisado

  • Quantidade de dias após uma palavra-passe ter expirador durante os quais a palavra-passe deve ainda ser aceite

  • Data de expiração de uma conta, expressada como a quantidade de dias desde 1 de Janeiro de 1970

"/etc/group" contém o seguinte.

group1:x:20:user1,user2

Como explicado em grupo(5), cada entrada separada por ":" neste ficheiro significa o seguinte.

  • Nome do grupo

  • Palavra-passe encriptada (na realidade não utilizada)

  • ID numérico do grupo

  • lista de nomes de utilizadores, separada por ","

[Nota] Nota

"/etc/gshadow" disponibiliza uma função semelhante à do "/etc/shadow" para "/etc/group" mas não é realmente usado.

[Nota] Nota

A quantidade real de membros de um grupo de um utilizador pode ser adicionada dinamicamente se a linha "auth optional pam_group.so" for adicionada ao "/etc/pam.d/common-auth" e definida em "/etc/security/group.conf". Veja pam_group(8).

[Nota] Nota

O pacote base-passwd contém uma lista autorizada do utilizador e do grupo: "/usr/share/doc/base-passwd/users-and-groups.html".

Aqui estão alguns comandos notáveis para gerir informação de conta.


Pode necessitar de privilégios de root para algumas funções funcionarem. Veja crypt(3) pela encriptação de palavra-passe e dados.

[Nota] Nota

Num sistema configurado com PAM e NSS como a máquina salsa de Debian, o conteúdo dos "/etc/passwd", "/etc/group" e "/etc/shadow" locais pode não ser utilizado activamente pelo sistema. Os comandos em cima são válidos mesmo sob tal ambiente.

Quando criar uma conta durante a instalação do seu sistema ou com o comando passwd(1), deve escolher uma boa palavra-passe que consista pelo menos de 6 a 8 caracteres incluindo um ou mais caracteres de cada um dos seguintes conjuntos de acordo com passwd(1).

  • Alfabéticos de minúsculas

  • Dígitos de 0 a 9

  • Marcas de pontuação

[Atenção] Atenção

Não escolha palavras adivinháveis como palavra-passe. O nome de conta, número de segurança social, número de telefone, endereço, data de nascimento, nomes de membros de família ou de animais, palavras do dicionário, sequências simples de caracteres como "12345" ou "qwerty", ... são todas más escolhas para a palavra-passe.

Existem ferramentas independentes para gerar palavras passe encriptadas com sal.


Os sistemas modernos tipo-Unix como o sistema Debian disponibilizam mecanismos PAM (Pluggable Authentication Modules) e NSS (Name Service Switch) para o administrador local configurar o sistema dele. O papel destes pode ser resumido ao seguinte.

  • O PAM oferece um mecanismo de autenticação flexível utilizado pelo software de aplicações e assim involve trocas de dados de palavra-passe.

  • O NSS oferece um mecanismo de serviço de nomes flexível que é utilizado frequentemente pela biblioteca C standard para obter o nome de utilizador e grupo para programas como o ls(1) e o id(1).

Estes sistemas PAM e NSS necessitam ser configurados de modo consistente.

Os pacotes notáveis dos sistemas PAM e NSS são os seguintes.


  • "O Guia do Administrador do Sistema Linux-PAM" em libpam-doc é essencial para aprender configuração do PAM.

  • A secção "System Databases e Name Service Switch" em glibc-doc-reference é essencial para aprender a configuração do NSS.

[Nota] Nota

Pode ver uma lista mais extensa e atual pelo comando "aptitude search 'libpam-|libnss-'". O acrónimo NSS também pode significar "Network Security Service" o que é diferente de "Name Service Switch".

[Nota] Nota

PAM é a maneira mais básica de inicializar variáveis de ambiente para cada programa com o valor predefinido de todo o sistema.

Sob systemd, o pacote libpam-systemd é instalado para gerir os logins de utilizador ao registar as sessões de utilizador na hierarquia do grupo de control do systemd para logind. veja systemd-logind(8), logind.conf(5),e pam_systemd(8).

Aqui estão alguns ficheiros de configuração notáveis acedidos pelo PAM e NSS.


A limitação da seleção da palavra-passe é implementada pelos módulos do PAM, pam_unix(8) e pam_cracklib(8). Eles podem ser configurados com os argumentos deles.

[Dica] Dica

Os módulos PAM utilizam o sufixo ".so" para os nomes de ficheiros deles.

A moderna gestão de sistema centralizada pode ser implantada a utilizar o servidor centralizado Lightweight diretory Access Protocol (LDAP) para administrar muitos sistemas tipo-Unix e não-tipo-Unix na rede. A implementação de código aberto do Lightweight diretory Access Protocol é o Software OpenLDAP.

O servidor LDAP disponibiliza para o sistema Debian a informação de conta através do uso de PAM e NSS com os pacotes libpam-ldap e libnss-ldap. São necessárias várias acções para ativar isto (não utilizei esta configuração e o seguinte é puramente informação secundária. Por favor leia isto neste contexto.).

  • Configura um servidor LDAP centralizado ao correr um programa como o daemon de LDAP autónomo slapd(8).

  • Altera os ficheiros de configuração do PAM no diretório "/etc/pam.d/" para utilizar "pam_ldap.so" em vez do predefinido "pam_unix.so".

    • Debian utiliza "/etc/pam_ldap.conf" como ficheiro de configuração para libpam-ldap e "/etc/pam_ldap.secret" como ficheiro para armazenar a palavra-passe do root.

  • Altera a configuração do NSS no ficheiro "/etc/nsswitch.conf" para usar "ldap" em vez da predefinição("compat" ou "file").

    • Debian utiliza o "/etc/libnss-ldap.conf" como o ficheiro de configuração para libnss-ldap.

  • Tem de fazer libpam-ldap para usar a ligação SSL (ou TLS) para a segurança da palavra-passe.

  • Pode fazer a libnss-ldap usar ligação SSL (ou TLS) para assegurar a integridade dos dados à custa de maior sobrecarga da rede LDAP.

  • Deve correr o nscd(8) localmente para pôr em cache quaisquer resultados de busca LDAP de modo a reduzir o tráfego de rede do LDAP.

Veja as documentações em pam_ldap.conf(5) e "/usr/share/doc/libpam-doc/html/" oferecidas pelo pacote libpam-doc e "info libc 'Name Service Switch'" oferecida pelo pacote glibc-doc.

De modo semelhante, pode configurar sistemas centralizados alternativos com outros métodos.

[Nota] Nota

A informação aqui pode não ser suficiente para as suas necessidades de segurança, mas deverá ser um bom começo.

O programa Secure Shell (SSH) disponibiliza comunicações encriptadas e seguras entre duas máquinas sem confiança sobre uma rede insegura com a autenticação de segurança. Consiste no cliente OpenSSH, ssh(1) e no daemon OpenSSH, sshd(8). Este SSH pode ser utilizado como túnel de segurança para protocolos de comunicação inseguros como o POP e X pela Internet com a funcionalidade de reencaminhamento de portos.

O cliente tenta autenticar-se a si próprio a utilizar autenticação baseada na máquina, autenticação de chave pública, autenticação por resposta a desafio, ou autenticação por palavra-passe. O uso de autenticação de chave pública activa o login remoto sem-palavra-passe. Veja Secção 6.3, “O servidor de acesso remoto e utilitários (SSH)”.

Para prevenir que pessoas acedam à sua máquina com privilégios de root, precisa de tomar as seguintes acções.

  • Prevenir acesso físico ao disco rígido

  • Lock UEFI/BIOS and prevent booting from the removable media

  • Definir palavra-passe para sessão interactiva do GRUB

  • Bloquear o menu do GRUB de ser editado

Com acesso físico ao disco rígido, redefinir a palavra-passe é relativamente fácil com os seguintes passos.

  1. Move the hard disk to a PC with CD bootable UEFI/BIOS.

  2. Arrancar o sistema com um suporte de recuperação (disco de arranque Debian, CD Knoppix, CD GRUB, ...).

  3. Montar a partição raiz com acesso de leitura/escrita.

  4. Editar "/etc/passwd" na partição raiz e esvaziar a segunda entrada para a conta root.

Se tiver acesso de edição à entrada do menu do GRUB (veja Secção 3.1.2, “Estágio 2: o gestor de arranque”) grub-rescue-pc no momento do arranque, é ainda mais fácil com os seguintes passos.

  1. Arrancar o sistema com o parâmetro de kernel alterado para algo como "root=/dev/hda6 rw init=/bin/sh".

  2. Editar "/etc/passwd" e tornar a segunda entrada para a conta root vazia.

  3. Reiniciar o sistema.

A shell de root do sistema está agora acessível sem palavra-passe.

[Nota] Nota

Após alguém ter acesso à shell de root, pode aceder a tudo no sistema e reiniciar quaisquer palavras-passe no sistema. Mais ainda, pode comprometer a palavra-passe para todas as contas de utilizadores a usar ferramentas de crack de palavra-passe por força bruta como os pacotes john e crack (veja Secção 9.5.11, “Segurança do sistema e verificação de integridade”). Esta palavra-passe descoberta pode levar a comprometer outros sistemas.

A única solução de software razoável para evitar estas preocupações é usar uma partição raiz encriptada por software (ou uma partição "/etc" a utilizar dm-crypt e initramfs (veja Secção 9.9, “Dicas de encriptação de dados”). Assim, vai necessitar sempre de palavra-passe para arrancar o sistema.

There are access controls to the system other than the password based authentication and file permissions.

[Nota] Nota

Veja Secção 9.4.16, “Tecla Alt-SysRq” para recadeiair a funcionalidade do kernel chave de atenção segura (SAK).

ACLs are a superset of the regular permissions as explained in Secção 1.2.3, “Permissões do sistema de ficheiros”.

You encounter ACLs in action on modern desktop environment. When a formatted USB storage device is auto mounted as, e.g., "/media/penguin/USBSTICK", a normal user penguin can execute:

 $ cd /media/penguin
 $ ls -la
total 16
drwxr-x---+ 1 root    root    16 Jan 17 22:55 .
drwxr-xr-x  1 root    root    28 Sep 17 19:03 ..
drwxr-xr-x  1 penguin penguin 18 Jan  6 07:05 USBSTICK

"+" in the 11th column indicates ACLs are in action. Without ACLs, a normal user penguin shouldn't be able to list like this since penguin isn't in root group. You can see ACLs as:

 $ getfacl .
# file: .
# owner: root
# group: root
user::rwx
user:penguin:r-x
group::---
mask::r-x
other::---

Here:

  • "user::rwx", "group::---", and "other::---" correspond to the regular owner, group, and other permissions.

  • The ACL "user:penguin:r-x" allows a normal user penguin to have "r-x" permissions. This enabled "ls -la" to list directory content.

  • The ACL "mask::r-x" sets the upper bound of permissions.

See "POSIX Access Control Lists on Linux", acl(5), getfacl(1), and setfacl(1) for more.

O sudo(8) é um programa desenhado para permitir a um administrador de sistema dar privilégios de root limitados a utilizadores e registar a atividade do root. O sudo necessita apenas da palavra-passe de um utilizador normal. Instale o pacote sudo e active-o ao definir opções em "/etc/sudoers". Veja um exemplo de configuração em "/usr/share/doc/sudo/examples/sudoers" e Secção 1.1.12, “Configuração do sudo”.

A minha utilização do sudo para o sistema de único utilizador (veja Secção 1.1.12, “Configuração do sudo”) destina-se a proteger-me da minha própria estupidez. Pessoalmente, Considero utilizar o sudo uma melhor alternativa do que utilizar o sistema a partir da conta de root a toda a hora. Por exemplo, o seguinte muda o dono de "algum_ficheiro" para "meu_nome".

$ sudo chown my_name some_file

Claro que se conhecer a palavra-passe de root (como os utilizadores de sistemas Debian auto-instalados conhecem), qualquer comando pode ser executado sob root a partir da conta de qualquer utilizador a usar "su -c".

PolicyKit é um componente do sistema operativo para controlar privilégios a nível global em sistemas operativos tipo-Unix.

Aplicações GUI mais recentes não são desenhadas para correr como processos privilegiados. Estas falam com os processos privilegiados através de PolicyKit para executar operações administrativas.

O PolicyKit limita tais operações a contas de utilizador pertencentes ao grupo sudo no sistema Debian.

Veja polkit(8).

Para a segurança do sistema, é uma boa ideia desativar o máximo de programas de serviços possíveis. Isto torna-se crítico em servidores na rede. Ter servidores não utilizados, activados directamente como daemon ou via programa super-server, são considerados riscos de segurança.

Muito programas, como o sshd(8), utilizam controlos de acesso baseados no PAM. Existem muitas maneiras de restringir o acesso a alguns serviços de servidor.

See Secção 3.5, “System management”, Secção 4.5.1, “Ficheiros de configuração acedidos pelo PAM e NSS”, and Secção 5.7, “Infraestrutura netfilter”.

[Dica] Dica

os serviços Sun RPC necessitam estar ativos para NFS e outros programas baseados em RPC.

[Dica] Dica

Se tem problemas com acesso remoto num sistema Debian recente, comente configurações ofensivas tais como "ALL: PARANOID" em "/etc/hosts.deny" se existirem. (Mas tem que ter cuidado com os riscos de segurança envolvidos com este tipo de acção.)

Linux kernel has evolved and supports security features not found in traditional UNIX implementations.

Linux supports extended attributes which extend the traditional UNIX attributes (see xattr(7)).

Linux divides the privileges traditionally associated with superuser into distinct units, known as capabilities(7), which can be independently enabled and disabled. Capabilities are a per-thread attribute since kernel version 2.2.

The Linux Security Module (LSM) framework provides a mechanism for various security checks to be hooked by new kernel extensions. For example:

Since these extensions may tighten privilege model tighter than the ordinary Unix-like security model policies, even the root power may be restricted. You are advised to read the Linux Security Module (LSM) framework document at kernel.org.

Linux namespaces wrap a global system resource in an abstraction that makes it appear to the processes within the namespace that they have their own isolated instance of the global resource. Changes to the global resource are visible to other processes that are members of the namespace, but are invisible to other processes. Since kernel version 5.6, there are 8 kinds of namespaces (see namespaces(7), unshare(1), nsenter(1)).

As of Debian 11 Bullseye (2021), Debian uses unified cgroup hierarchy (a.k.a. cgroups-v2).

Usage examples of namespaces with cgroups to isolate their processes and to allow resource control are:

These functionalities can't be realized by Secção 4.1, “Autenticação normal de Unix”. These advanced topics are mostly out-of-scope for this introductory document.