Como impedir modificações no LTSP e aumentar sua segurança?

Question

Caros colegas,
Com a ajuda de alguns colegas do Guia do Hardware, montei um LTSP.
Mas duas coisas a respeito de seguran&ccedil;a ainda me intrigam e n&atilde;o consegui resolv&ecirc;-las:

1 - Tem como, de alguma forma modificar a senha do root? Ou somente o root pode modific&aacute;-la? Se tem como modificar, como impedir?

2 - Esse LTSP que estou criando, vai ser usado em escolas com mais de 1.000 alunos, gostaria de que ele funcionasse da seguinte maneira:
  - Criei as contas de alunos e professores, atrav&eacute;s do chmod dei privil&eacute;gios para o professor acessar somente a pasta dele e do aluno e os alunos acessam somente a sua pasta. 
  - Mas os alunos e professores podem modificar as configura&ccedil;&otilde;es do linux, tipo papel de parede, mouse etc.
Gostaria de saber como fazer para que os alunos e professores modifiquem essas configura&ccedil;&otilde;es mas quando reiniciar o PC tudo esteja igual ao padr&atilde;o que vou definir. Esse padr&atilde;o &eacute; somente sobre papel de parede, mouse e efeitos visuais para que as m&aacute;quinas n&atilde;o percam velocidade, pois as placas de rede delas &eacute; uma vergonha...
Valeu pela for&ccedil;a.

Answer

Quanto a pergunta n&uacute;mero 1, s&oacute; o usu&aacute;rio root, ou algum outro usu&aacute;rio com id 0 podem mudar a senha do root. Se o &uacute;nico usu&aacute;rio com esse poder existente na m&aacute;quina &eacute; o root, n&atilde;o h&aacute; risco.

Quanto a pergunta numero 2, &eacute; muito relativo. Qual o gerenciador de janelas que voc&ecirc; usa? Como ele configura os perfis dos usu&aacute;rios? Voc&ecirc; precisa estudar isso, para definir como fazer.

Um abra&ccedil;o.

Answer

Estou usando o Kurumin 5.1.
No caso o gerenciador &eacute; o KDE, creio eu, para dar boot nas esta&ccedil;&otilde;es uso o Kdm.
Para configurar os perfis achei uma ferramenta em: Menu K, Sistema, Gnome System Tools, Gerenciar usu&aacute;rios e grupos. L&aacute; encontrei como criar usu&aacute;rios e definir privilegios, mas n&atilde;o encontrei uma ferramenta ou maneira para fazer o que te disse.
Estou perguntando pq em algumas escolas usamos um sistema semelhante, por&eacute;m com o Windows NT, l&aacute; ele envia para as esta&ccedil;&otilde;es o Windows XP, tudo q os alunos fazem fica gravado na mem&oacute;ria, desligou volta tudo ao original.
Valeu pela for&ccedil;a.

Answer

1 - Tem como, de alguma forma modificar a senha do root? Ou somente o root pode modific&aacute;-la? Se tem como modificar, como impedir? s&oacute; o usu&aacute;rio root, ou algum outro usu&aacute;rio com id 0 podem mudar a senha do root. Se o &uacute;nico usu&aacute;rio com esse poder existente na m&aacute;quina &eacute; o root, n&atilde;o h&aacute; risco.
Na verdade, qualquer usu&aacute;rio com acesso irrestrito ao sudo pode mudar a senha do root. O que n&atilde;o chega a ser um problema, pois primeiro um usu&aacute;rio que tenha acesso irrestrito ao sudo n&atilde;o precisa usar a senha do root pra nada. Segundo, pq s&oacute; um usu&aacute;rio de total confian&ccedil;a do administrador do sistema recebe esse poder, que &eacute; totalmente configur&aacute;vel.
Sobre existir outro usu&aacute;rio com id 0, tenha uma coisa em mente: root, no sistema, &eacute; igual Highlander, s&oacute; pode haver um.

2 - Esse LTSP que estou criando, vai ser usado em escolas com mais de 1.000 alunos, gostaria de que ele funcionasse da seguinte maneira:
- Criei as contas de alunos e professores, atrav&eacute;s do chmod dei privil&eacute;gios para o professor acessar somente a pasta dele e do aluno e os alunos acessam somente a sua pasta.
- Mas os alunos e professores podem modificar as configura&ccedil;&otilde;es do linux, tipo papel de parede, mouse etc.
Gostaria de saber como fazer para que os alunos e professores modifiquem essas configura&ccedil;&otilde;es mas quando reiniciar o PC tudo esteja igual ao padr&atilde;o que vou definir. Esse padr&atilde;o &eacute; somente sobre papel de parede, mouse e efeitos visuais para que as m&aacute;quinas n&atilde;o percam velocidade, pois as placas de rede delas &eacute; uma vergonha... 
Se voc&ecirc; criou contas separadas para cada aluno e professor, n&atilde;o h&aacute; problema, pois todas as modifica&ccedil;&otilde;es feitas afetar&atilde;o apenas o usu&aacute;rio em quest&atilde;o. Mas de um jeito ou de outro, n&atilde;o &eacute; dif&iacute;cil pensar numa forma de voltar as configura&ccedil;&otilde;es ao normal, de tempos em tempos, seja pra um usu&aacute;rio &uacute;nico, seja pra todos os cadastrados.

Answer

Se eu desativar o sudo ent&atilde;o, acabou a possibilidade de modificar a senha do root?
Caso eu crie uma pasta no diret&oacute;rio / para alunos e professores com as permiss&otilde;es de acesso que disse antes
e se colocar o home dos alunos e professores somente leitura, resolvo o problema de altera&ccedil;&otilde;es nas 
configura&ccedil;&otilde;es? ou pode afetar alguma coisa no sistema?

Answer

[quote=jqueiroz]Na verdade, qualquer usu&aacute;rio com acesso irrestrito ao sudo pode mudar a senha do root. O que n&atilde;o chega a ser um problema, pois primeiro um usu&aacute;rio que tenha acesso irrestrito ao sudo n&atilde;o precisa usar a senha do root pra nada. Segundo, pq s&oacute; um usu&aacute;rio de total confian&ccedil;a do administrador do sistema recebe esse poder, que &eacute; totalmente configur&aacute;vel.[/quote]

Realmente, esqueci de comentar sobre o sudo. Como geralmente vem desabilitado nas distribui&ccedil;&otilde;es mais tradicionais, nem considerei essa hip&oacute;tese. N&atilde;o sei como &eacute; no Kurumin. Bem lembrado jqueiroz

Answer

Torno a repetir a pergunta que fiz acima, amigos...
Se eu desativar o sudo ent&atilde;o, acabou a possibilidade de modificar a senha do root?
Caso eu crie uma pasta no diret&oacute;rio / para alunos e professores com as permiss&otilde;es de acesso que disse antes
e se colocar o home dos alunos e professores somente leitura, resolvo o problema de altera&ccedil;&otilde;es nas
configura&ccedil;&otilde;es? ou pode afetar alguma coisa no sistema?

Answer

Voc&ecirc; pode criar um script para que toda vez que a maquina for reiniciada os arquivos das 
astas .kde/ ./openoffice/ (dentro das pastas home dos usu&aacute;rios) sejam reescritos com arquivos padr&otilde;es(que voc&ecirc; ira criar).....

Tipo.. configure uma pasta home.. copie estes arquivos para algum canto e crie scrpts que toda vez que o servidor reiniciar
ele copie os arquivos que voc&ecirc; criou para as pastas dos usu&aacute;rios reescvrendo tudo.. 

Colocar o /home com permiss&atilde;o s&oacute; de leitura n&atilde;o &eacute; bom..isto vai causar varios erros..

S&oacute; que ai tem que dar uma pensadinha pra criar os scripts e tal.

boa sorte!

P.S: &Eacute; mais ou menos o que faz esta customiza&ccedil;&atilde;o do debian http://saltador.uspnet.usp.br/pub/suitetelecentro/ISO/1.1-2/ ...

Answer

Torno a repetir a pergunta que fiz acima, amigos...
Se eu desativar o sudo ent&atilde;o, acabou a possibilidade de modificar a senha do root?
Num sistema bem configurado e livre de rootkits, s&oacute; um processo sendo executado com direitos de superusu&aacute;rio poderia trocar a senha de outros usu&aacute;rios, inclusive o root. Como s&oacute; o root ou os processos disparados pelo sudo tem esses direitos, e voc&ecirc; teria desativado o sudo, o risco de algu&eacute;m alterar a senha do root sem conhec&ecirc;-la anteriormente &eacute; praticamente zero.

Caso eu crie uma pasta no diret&oacute;rio / para alunos e professores com as permiss&otilde;es de acesso que disse antes
e se colocar o home dos alunos e professores somente leitura, resolvo o problema de altera&ccedil;&otilde;es nas
configura&ccedil;&otilde;es? ou pode afetar alguma coisa no sistema?
Deixa eu te dar outra sugest&atilde;o: se voc&ecirc; est&aacute; criando um ambiente para ensino, ensine seus alunos direito. N&atilde;o crie pastas no diret&oacute;rio raiz. Alguns locais bons para colocar arquivos de trabalho compartilhados:

/usr/local/publico
/home/publico
/opt/publico
/data/publico

Quanto a colocar o home dos usu&aacute;rios em modo somente leitura, muito provavelmente voc&ecirc; vai impedir o sistema de funcionar.

Outra sugest&atilde;o... instale o /home em uma parti&ccedil;&atilde;o separada, e antes de come&ccedil;ar o curso, crie uma imagem dessa parti&ccedil;&atilde;o. Da&iacute;, &eacute; s&oacute; restaurar a imagem todos os dias, ap&oacute;s a aula. S&oacute; tem que tomar cuidado, nesse caso, com uma poss&iacute;vel pasta /home/publico, que teria que estar em outra parti&ccedil;&atilde;o.

Answer

Ok...
Acredito q fazendo assim dar&aacute; certo.
Essa restaura&ccedil;&atilde;o eu faria somente recopiando as pastas originais?
Obrigado pela for&ccedil;a.

Answer

Seria uma restaura&ccedil;&atilde;o por imagem, como se voc&ecirc; usasse o Norton Ghost.

Answer

Sobre o sudo: &eacute; opcional e deve ser cuidadosamente configurado para evitar brechas da seguran&ccedil;a (v. man sudoers), assim como o su (conveniente configurar o pam). Sobre o root: deve haver somente um usu&aacute;rio com uid=0, mas pode haver mais de um; embora normalmente o comando useradd restrinja essa possibilidade, pode-se editar o arquivo /etc/passwd para criar um usu&aacute;rio com uid=0 e nome qualquer (p.ex., admin2); editando o arquivo /etc/shadow, copiando-se a entrada do usu&aacute;rio root, mudando-se o nome para admin2 e executanto o comando passwd admin2 para alterar a senha, passam a existir 2 usu&aacute;rios com uid=0 e senhas diferentes. &Eacute; uma falha administrativa, mas poss&iacute;vel. Para evitar algumas falhas de seguran&ccedil;a, deve-se criar volumes distintos para montar as pastas /tmp e /home e utilizar a op&ccedil;&atilde;o nosuid,nodev. Alguns detalhes s&atilde;o complicados, mas essa op&ccedil;&atilde;o &eacute; recomendada. Para a pasta /tmp pode-se acrescentar a op&ccedil;&atilde;o noexec, desde que o administrador disponha-se a fazer a remontagem quando da instala&ccedil;&atilde;o de alguns aplicativos que exigem executar arquivos tempor&aacute;rios a partir dessa pasta para sua instala&ccedil;&atilde;o. Finalizando, se algu&eacute;m tiver acesso f&iacute;sico ao computador, e puder inicializ&aacute;-lo (ou reinicializ&aacute;-lo) por outro meio (disquete, cd, modo single desprotegido), poder&aacute; editar o arquivo /etc/shadow, apagar o campo de senha e reiniciar o sistem com a senha de root em branco. Portanto, restrinja o acesso f&iacute;sico ao computador!

Answer

Caracas!!!!!!!!!!!!!1
Foi bom a dia anterior do colega angelo....
valeu pela for&ccedil;a....

Ferramentas

Mover Tópico