Evite que um usuário possa realizar o primeiro login no sistema como root. Tal configuração obriga o usuário a autenticar com um usuário comum e, depois, utilizar o sudo para se tornar administrador do sistema. Para ativar esse recurso, basta apagar o conteúdo do arquivo /etc/securetty. Observe que alguns sistemas não utilizam o sistema de autenticação do Linux (PAM) para autenticação (ex.: OpenSSH), assim será necessário verificar se essa opção está disponível na aplicação.

Não permita que qualquer usuário possa se tornar root utilizando o sudo. O PAM permite que você crie um grupo especial e que somente membros desse grupo possam se tornar root. Essa configuração vai impedir que um usuário comum, mesmo sabendo a senha do root, possa se promover como root do sistema. Saiba+

Proteja o sistema de inicialização do Linux (GRUB) com senha. Sem essa proteção, um atacante que tenha acesso físico à máquina poderá reiniciar o sistema como root utilizando um modo conhecido como Single User Mode. Para desativar essa opção, edite o arquivo /boot/grub/menu.lst e insira no final a linha “password mudeme”.

Um problema simples no Linux é que, se um atacante tiver acesso ao console e apertar as teclas CTRL + ALT + DEL (utilizadas para autenticar em máquinas Windows), reiniciará, automaticamente, o servidor. Para evitar esse comportamento, comente a linha “# ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now” no arquivo /etc/inittab.

Saiba+

Para evitar esse comportamento, você deverá criar um grupo chamado wheel (# groupadd wheel) e modificar o arquivo /etc/pam.d/su (inserindo no final do arquivo a linha “auth required pam_wheel.so group=wheel”), de forma a permitir que apenas os membros desse grupo possam se tornar root do sistema. Não se esqueça de colocar um usuário como membro do grupo wheel (# usermod –G wheel usuario) antes de realizar o logoff.