vamos lá.
eu faria assim
usuária o Pam.
A minha idéia é bloquear o login de root na máquina OK? para sempre.
Então apartir de agora somente com SU.
No caso um invasor teria que saber 2 senhas, já dificulta.
edite o arquivo /etc/security/time.conf e adicione a linha
login;*;root;!Al0000-2400
login = modulo do pam
* = tudo ou seja tty1 ao 12 e shh tudo.
root = é o usuário root.
!Al0000-2400 = Quer dizer todos os dias todos anos, todo horário, só que tem
o "!" então é negação;
edite o outro arquivo o /etc/pam.d/login adicione a linha(as vezes ja tem)
account requisite pam_time.so
Neste estamos falando para serviços de accout requisitar o time(time.conf)
edite outro o arquivo o /etc/pam.d/su
auth required pam_wheel.so group=admins
Neste estamos falando que só o grupo=admins pode usar o comando su.
Então mude o seu usuário para o grupo admins, primeiro crie o grupo
addgroup admins
Depois mude gpasswd -a seu_usuário admins
Pronto só os usuários que estao no grupo admins poderão usar o su - para se
logar.
Uma dica é criar o grupo com outro nome, tipo um "sndaudio", dificulta mais
ainda uma invasao.
Eu uso sempre essa técnica em todos os meus linux que tenho espalhado por
ae, a pessoa tem q passar por 2 senhas pra poder ter acesso ao sistema.
On 5/30/07, Krishnamurti L. L. V. Nunes <[EMAIL PROTECTED]> wrote:
Em 30/05/07, Darley Rovaris da Silva<[EMAIL PROTECTED]> escreveu:
>
> Pessoal, gostaria de saber como exigir que se logue primeiro com
usuário
> comum antes de logar como root?
> Grato!
>
> .''`. Darley Rovaris da Silva : :' : Téc. Laboratório - UNESP `. `'`
User
> Linux: #435590 `-
Darley,
A resposta do Fabio se aplica se você estiver querendo bloquear o
acesso remoto do usuário root, através da rede. Não impede que o root
logue diretamente no ambiente gráfico ou nos consoles da máquina.
Se for o primeiro caso, o GDM tem um configurador que pode ser
encontrado no menu Desktop->Administração->Janela de início de sessão.
Vá à aba Segurança e DESMARQUE a opção:
"Permitir início de sessão do administrador"
Se o gerenciador for o KDM ou outro, também há opções semelhantes.
Para impedir que o root logue nos termiais (consoles), comente ou
deixe totalmente vazio o arquivo /etc/securetty. Esse arquivo diz em
que consoles o root pode fazer login.
--
Krishnamurti Lelis Lima Vieira Nunes
--
/* Rafael Gimenes Leite
Analista Desenvolvedor.
linux user #404839
http://www.rafaelgimenes.net
http://vidacurta.net
Em um mundo sem paredes, quem precisa de "janelas"?
*/
