Capita a tutti di dimenticare una password e spesso capita proprio nel momento in cui abbiamo un’esigenza urgente che deve essere risolta al più presto.

In molti sistemi l’operazione di recupero o reset password richiede l’interruzione del servizio (magari per un semplice reboot) o l’utilizzo di tools di terze parti non sempre a portata di mano.

In questo caso fortunatamente mysql ci viene incontro permettendo il reset della password di root con una procedura di reset che richiede solo pochi passaggi.

La tipica schermata che appare quando viene digitata una password errata di root in mysql:

1. PROCEDURA
Per resettare la password è necessario fermare innanzitutto il daemon mysql.

# service mysqld stop

Eseguire il comando seguente:

# mysqld_safe –-skip-grant-tables & 

Con l’istruzione seguente si effettua il login senza password.

# mysql -uroot mysql

Impostare la nuova password per l’utente root.

mysql> UPDATE user SET password=PASSWORD(“password”) WHERE user=”root”;
mysql> FLUSH PRIVILEGES;

Avviare il daemon mysqld.

# service mysqld start

Ripartito il servizio, utilizzando la password appena impostata riusciamo nuovamente ad accedere a mysql.

Con questa semplice procedura, il recupero della password risulta veloce e immediata senza interruzione del servizio.

Hai già letto questi articoli?

• Recuperare la password in Lotus Notes
• Configurare ID Vault in Lotus Domino 8.5.3
• Modificare il path dei database in mySQL
• Aggiungere un disco ad una VMware machine Linux

Nessun sistema è sicuro al 100%. E’ possibile però utilizzare alcuni accorgimenti per aumentare il livello di sicurezza e rendere più difficoltosi i tentativi di intrusione.

Tra le varie soluzioni possibili, il limitare i diritti di accesso alle varie componenti del sistema rende il fattore sicurezza più elevato:

1. PARTIZIONI
Quando viene effettuata l’installazione di un sistema Linux, per rafforzare la sicurezza e stabilità del sistema è utile stabilire uno schema di partizionamento adeguato.

Alcuni suggerimenti da tenere presente riguardano le principali directory che caratterizzano il “core system” del sistema:

- Tenere le partizioni scrivibili dagli utenti separate dal resto, cioè le directories /home e /var. Queste sono generalmente riempite con i dati degli utenti e dovrebbero essere soggette a “quota” per evitare di mandare in crash il server se il file system venisse saturato.

- Tenere la partizione /boot separata. In caso venisse corrotta è sempre possibile effettuare un fall back per fare almeno il boot del kernel. 100 MB sono OK per questa partizione.

- La partizione /tmp è la più delicata in quanto è scrivibile e accessibile da tutti. Meglio evitare che sia riempita fino a causare il crash del server. 1 GB dovrebbe essere più che sufficiente per /tmp.

2) L’UTENTE DI “ROOT“
Disabilitare il login remoto dell’account root via SSH rende complicati i tentativi di prendere il controllo del sistema operando in remoto.

- editare il file:

# vi /etc/ssh/sshd.conf

- abilitare e modificare le proprietà elencate con questi parametri:

• Protocol 2
• PermitRootLogin no
• PermitEmptyPasswords no

In questo modo l’account root non può effettuare il login tramite una sessione ssh.

3) IL COMANDO “SU”
Limitare l’accesso al comando su solo ad alcuni utenti.

- creare il gruppo admins:

# groupadd admins

- modificare l’ownership:

# chown root.admins /bin/su

- modificare i permessi di accesso:

# chmod 4750 /bin/su

In questo modo solo l’utente root e gli utenti membri del gruppo admins posso accedere al comando su.

4) LA PARTIZIONE “TMP”
Limitare i permessi sulla partizione /tmp.

E’ meglio evitare che degli utenti o potenziali intrusi possano eseguire degli scripts dalla partizione/directory /tmp. Procediamo come segue:

- editare il file /etc/fstab individuando l’entry /tmp che dovrebbe essere configurata come default:

LABEL=/tmp     /tmp     ext3     defaults     1 2

- modificare la riga come segue:

LABEL=/tmp     /tmp     ext3     rw,noexec,nosuid     1 2

Sebbene sia ancora possibile accedere sia in lettura che in scrittura, non è più possibile eseguire applicazioni o scripts ed effettuare il suid bits sui file.

5) FIREWALL
Con gli accorgimenti fino ad ora adottati, il sistema è un po’ più sicuro e più stabile. Naturalmente se il computer è in rete ed è accessibile anche dall’esterno, un buon firewall è fortemente consigliato!

Hai già letto questi articoli?

• Autenticazione tramite Public key in Linux
• KittY un’ alternativa al client PuttY per Windows
• Il servizio di Lotus Domino 8.5.x non si avvia al boot di Windows Server 2008 R2
• Resettare la password di root in mySQL