Senha que protege o modo de usuário único e o GRUB em um VPS

Navegue suas respostas
2

Eu tenho um servidor web VPS CentOS 6 Linux. É executado no KVM.

Executando uma auditoria Lynis, ele observa que o modo de usuário único e o GRUB não são protegidos por nenhuma senha / autenticação: 

[16:00:28] Warning: No password set for single mode [AUTH-9308]
[15:59:26] Suggestion: Set a password on GRUB bootloader to prevent altering boot configuration (e.g. boot in single user mode without password) [BOOT-5122]

Além disso, Lynis também menciona unidades de armazenamento: 

[16:05:09] Suggestion: Disable drivers like USB storage when not used, to prevent unauthorized storage or data theft [STRG-1840]
[16:05:09] Suggestion: Disable drivers like firewire storage when not used, to prevent unauthorized storage or data theft [STRG-1846]

Como esta é uma instância virtualizada do Linux e é um servidor, agir sobre os pontos levantados acima seria realmente benéfico? A adição de mecanismos de autenticação ao modo de usuário único e ao GRUB na verdade causaria problemas durante a inicialização (principalmente com o GRUB), pois é um servidor virtualizado e não um cliente típico de desktop Linux, embora a Lynis obviamente não saiba disso.

Não tenho certeza se o Lynis está vindo de uma perspectiva de configuração do servidor e é aí que está minha confusão.

Qualquer esclarecimento sobre os pontos destacados seria apreciado!

Obrigado,

    
por James White 17.06.2015 / 18:22

1 resposta

2

Você pode usar meu centos-6.x-harden.sh que fiz para o endurecimento geral, que 

#!/bin/bash
echo "readonly TMOUT=900" >> /etc/profile.d/os-sec.sh
echo "readonly HISTFILE" >> /etc/profile.d/os-sec.sh
chmod +x /etc/profile.d/os-sec.sh
echo "tty1" > /etc/securetty
chmod 700 /root
echo "blacklist usb-storage" > /etc/modprobe.d/blacklist-usbstorage
cat << EOF > /etc/sysconfig/init 
BOOTUP=color
RES_COL=60
MOVE_TO_COL="echo -en \033[${RES_COL}G"
SETCOLOR_SUCCESS="echo -en \033[0;32m"
SETCOLOR_FAILURE="echo -en \033[0;31m"
SETCOLOR_WARNING="echo -en \033[0;33m"
SETCOLOR_NORMAL="echo -en \033[0;39m"
PROMPT=no
AUTOSWAP=no
ACTIVE_CONSOLES=/dev/tty[1-6]
SINGLE=/sbin/sulogin
EOF
cat << EOF > /etc/init/control-alt-delete.override
start on control-alt-delete
exec /usr/bin/logger -p authpriv.notice -t init "Ctrl-Alt-Del was pressed and ignored"
EOF
cat << EOF > /tmp/grub.patch
--- grub.conf   2014-11-09 13:43:45.085378787 +0330
+++ grub.conf.new       2014-11-09 13:43:48.508377857 +0330
@@ -9,6 +9,7 @@
default=0
timeout=5
+password --md5 \\$T.IYz1\$wLQ21IjrUuMeLfkGd1Xby0
splashimage=(hd0,0)/boot/grub/splash.xpm.gz
hiddenmenu
EOF
patch -s /boot/grub/grub.conf < /tmp/grub.patch
# alternate to the latter patch is: echo 'password --md5 $1$T.IYz1$wLQ21IjrUuMeLfkGd1Xby0' >>      /boot/grub/grub.conf
  1. Protege o shell, se eu deixar o terminal aberto.
  2. Protege no caso de força bruta de terminal.
  3. Protege o modo de usuário único, fazendo com que o usuário forneça a senha de root
  4. Protege o menu do GRUB, obrigando a senha.
  5. Protege o sistema desativando a reinicialização baseada em alt-ctrl-delete.

** considere alterar o hash md5 para sua senha desejável.

Espero que ajude

    
por 17.06.2015 / 18:47

Tags

Existe algum ntpd que possa ser configurado para escutar apenas as interfaces selecionadas? Desativar texto em tags em awesomeWM?