A precaucao sobre o acesso fisico (ou o "medo") envolve apenas operacoes multiusuario no ambiente de producao ou a questao e' "copia" indevida dos dados no servidor? Porque se for a segunda, todas as solucoes eventualmente indicadas sao anuladas por um simples boot com um disco Live ou com o HD sendo secundario de um outro FreeBSD. Se o receio o segundo caso, voce soh tem um caminho: criptografar todo o disco. Inclusive a raiz. Nesse caso use gbde(8) ou geli(8) (options GEON_ELI). Veja em www.fug.com.br como usa-los. Eu indico a segunda forma (geli).
Do contrario basta combinar chflags, securelevel e colocar todos os terminais em modo insecure no /etc/ttys, isso exigira saber 1) a senha de um usuario desprivilegiado, 2) a senha de root e 3) que o usuario desprivilegiado seja parte do mesmo grupo do root para ter privilegios no servidor. Uma pergunta. Alguem vai ter algum acesso? Pra manutencao por exemplo? Se sim, coloque o /usr/bin/su como shell desse usuario, e coloque nologin como shell de qualquer outro usuario. Porque /usr/bin/su como shell? A ideia eh garantir que se alguem for se logar, sera pra manutencao, e pra isso devera saber ambas as senhas, a do usuario desprivilegiado e a do proprio root (ja que o root nao se logara diretamente apos a configuracao insecure do /etc/ttys). Senao, o usuario se loga sem saber a senha do root, apenas sabendo a do desprivilegado e pode ficar brincando de tour no sistema, dando mkdir no /tmp ate acabar os inodes hehe, que eh o que voce nao quer. A ideia eh facilmente adaptavel ao sudo caso queria restringir o alcance da manutencao (nao sei se eh o seu caso). S/Key tambem pode ser de seu interesse: http://doc.fug.com.br/doc/pt_BR.ISO8859-1/books/handbook/one-time-passwords.html "man security" dara mais dicas sobre ttys, securelevel e chflags, entre outros. -- Patrick Tracanelli FreeBSD Brasil LTDA. (31) 3281-9633 / 3281-3547 [EMAIL PROTECTED] http://www.freebsdbrasil.com.br "Long live Hanin Elias, Kim Deal!" ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
