Skip to main content

Protocolo de Blindagem de Infraestrutura VMS Clientes

Este documento descreve os procedimentos de segurança aplicados às VMs de projetos institucionais. O objetivo é garantir a autonomia do usuário para o projeto de IoT (InfluxDB, Grafana, MQTT), mantendo a soberania da CTIC sobre as credenciais e o firewall.

1. Configuração do Sudoers (Trava Lógica)

A regra deve ser inserida no final do arquivo /etc/sudoers para garantir que ela sobrescreva qualquer permissão de grupo (como %sudo).

Procedimento:

  1. Acesse o servidor como root.

  2. Execute o comando: visudo.

  3. Adicione a seguinte configuração ao final do arquivo (substitua usuario_projeto pelo login real):

Snippet de código 
# ----------------------------------------------------------------------------
# RESTRIÇÃO DE SEGURANÇA - CTIC
# ----------------------------------------------------------------------------
usuario_projeto ALL=(ALL:ALL) ALL, !/usr/bin/passwd, !/usr/sbin/visudo, !/usr/sbin/chattr, !/usr/bin/chattr, !/usr/sbin/ufw, !/usr/sbin/iptables, !/usr/sbin/nft, !/usr/bin/su, !/bin/bash, !/bin/sh, !/usr/bin/php, !/usr/bin/python*, !/usr/bin/perl, !/usr/bin/cat /etc/sudoers, !/usr/bin/grep * /etc/sudoers, !/usr/bin/more /etc/sudoers, !/usr/bin/less /etc/sudoers

[!WARNING] Nota: Esta regra bloqueia a alteração de senhas, edição de privilégios, desativação de firewall (UFW) e a leitura do próprio arquivo de configuração do Sudoers.

2. Aplicação da "Tranca Física" (Trava de Kernel)

Utilizamos o atributo de Imutabilidade para congelar os arquivos críticos no disco. Isso impede modificações mesmo que o usuário consiga burlar o Sudoers.

Comandos de Ativação (Como Root):

Execute estes comandos para "lacrar" o sistema:

Bash 
# Congelar o arquivo de privilégios
chattr +i /etc/sudoers

# Congelar base de dados de usuários e senhas
chattr +i /etc/shadow
chattr +i /etc/passwd
chattr +i /etc/group
chattr +i /etc/gshadow

3. Manutenção pela Equipe CTIC

Para realizar manutenções legítimas (criar usuários ou alterar o sudoers), a equipe de TI deve seguir este fluxo:

  1. Remover a trava: chattr -i /etc/sudoers (ou o arquivo alvo).

  2. Modificar: Realizar a alteração (ex: visudo).

  3. Reativar a trava: chattr +i /etc/sudoers.

4. Auditoria de Status

Para confirmar se a blindagem está ativa e funcional:

  • Verificar atributos: lsattr /etc/sudoers /etc/shadow (deve exibir o i).

  • Testar bloqueio: sudo passwd root (deve retornar erro de manipulação de token).

No comments to display

Back to top