Bom pessoal, esse é o primeiro post de uma série de posts que vou falar sobre segurança no Linux. Para iniciar resolvi falar da primeira barreira de segurança que seriam as senhas.
No Linux todo usuário para poder usar o sistema precisa de um login e uma senha, ao se criar um usuário o sistema cria automaticamente uma entrada no arquivo /etc/passwd e a senha é armazenada criptografada no arquivo /etc/shadows e por meio do UID (User ID) o linux consegue linkar o usuário com sua senha.
Logo percebemos como é importante prestar atenção nesses arquivos e saber como lidar com eles para assim poder ter um melhor controle e segurança sobre seu sistema. Assim vou listar algumas dicas para lidar melhor com esses arquivos e assim ter um sistema mais seguro:
- Usuários que não fazem login no sistema como o “daemons”, mesmo um usuário que tenha sido criado apenas para execução de tarefas devem possuir no seu respectivo campo no arquivo /etc/shadow um * para que nunca nenhuma senha colocada funcione e assim não permita o login do mesmo no sistema.
- Para fazer uma checagem no seu arquivo de senhas sem o uso de ferramentas especializadas mas mesmo assim conseguir ter um controle total sobre seu arquivo de senhas pode ser com o seguinte script: perl -F: -ane ‘print if not $F[1];’ /etc/shadow . Esse script irá rodar e achar todos os arquivos que estão sem senhas. Como adicional você pode por esse script na cron e depois de executado enviar um e-mail para você ou até criar copias dos arquivos todo mês por exemplo e depois executar um diff para ver as mudanças.
- O arquivo /etc/passwd sempre deve ter leitura para todos mas acesso só para root como permissão. Já o /etc/shadow deve ter acesso para leitura e escrita apenas do root.
- Agora aqui vai uma dica que vale tanto para Linux quanto outros SO’s (Sistemas Operacionais): As senhas sempre devem ter pelo menos 8 caracteres evitando dados conhecidos como nome, idade, nascimento, nome da mãe, nome do papagaio, etc. Além disso procure sempre combinar letras maisculas, minusculas, números e pontuação. Mas nunca esquecendo que uma boa senha além de conter os requisitos anteriores também deve ser de facil memorização.
Nos próximos posts sobre segurança estarei falando um pouco mais sobre a criação de senhas, o arquivo /etc/passwd e o software john the ripper que serve para testar a qualidade e segurança de suas senhas tentando quebra-las.
PS: Só para informação a imagem que usei tem a licença da Creative Commons, abordarei esse assunto em um outro post e como esse tipo de licenciamento está relacionado com o Linux e o software livre.
