Re: [Fedora-users-br] análise de vulnerabilidade no servidor
Gustavo Picoloto
picoloto em gmail.com
Ter Ago 28 13:54:37 UTC 2007
Olá,
Para vulnerabilidades remotas, o nessus é digamos "a melhor relação
custo X benefício". Ele procura as vulnerabilidades mais comuns, mas
não procura todas. O nessus não faz certas coisas como ver se o ssh
está permitindo acesso remoto de root e a senha do mesmo é "root". Ele
também não consegue ver se determinado usuário está no grupo wheel e
pode executar "sudo su -". Entendeu o que tentei mostrar? Este tipo de
coisa é muito mais comum do que se possa imaginar e o nessus não faz.
Ah sim, não é óbvio desativar o firewall pois para uma análise real de
vulnerabilidades o firewall deve estar ativo pois um possível invasor
não vai te pedir para desativar o firewall para invadir, ele vai
tentar invadir do jeito que a rede está. Uma análise dessas poderia
descobrir regras de firewall incorretas e depois disso descobrir
configurações incorretas no servidor.
O ideal é ter um checklist a ser seguido e aplicar tudo ou o máximo de
regras possíveis e para isso, até onde eu saiba, não tem uma
ferramenta que "faz tudo".
Se quiserem/precisarem, eu posso passar algumas dicas genéricas e
tirar dúvidas mas infelizmente não posso passar o checklist que
conheço devido a um contrato que tenho assinado com a empresa onde
trabalho e outro com a empresa onde trabalhei até recentemente :(
Uma sugestão é procurar na internet por "linux security enforcing",
"linux security hardening" e coisas do tipo. Depois, procurar fazer o
mesmo com os serviços que a máquina tem disponível (ssh e apache por
exemplo). Tudo o que tem no checklist de onde trabalho tem na
internet, mas não está tudo concentrado no mesmo lugar.
[]'s
Gustavo Picoloto
Em 28/08/07, Cristiano Furtado<jasonnfedora em gmail.com> escreveu:
> Mais neste caso o mais obvio é que o firewall esteja desativado para esse
> proposito. Eu ainda desconheço uma ferramenta tão util quanto o nessus.
> Picoloto, você tem idéia de uma outra ferramenta?
>
> Em 28/08/07, Gustavo Picoloto <picoloto em gmail.com> escreveu:
> > Olá,
> >
> > O nessus é razoavelmente bom para serviços de rede e só funciona bem
> > se você tiver um firewall sem regras no caminho entre a máquina com o
> > nessus e a máquina a ser analisada (nem sempre pode instalar o nessus
> > no servidor a ser analisado).
> >
> > Além disso, há outras coisas que podem ser feitas e o nessus não faz,
> > por exemplo, ele não vê se todos as atualizações de segurança foram
> > aplicadas e nem se você tem uma boa política de senhas na máquina. Mas
> > em todo o caso, o nessus é algo bom para se ter um começo :)
> >
> > Dependendo da criticidade do servidor, tem muita coisa que pode ser
> > feita ... mas nem sempre vale a pena ($$$) o investimento.
> >
> > []´s
> > Gustavo Picoloto
> >
> >
> > Em 28/08/07, Cristiano Furtado<jasonnfedora em gmail.com> escreveu:
> > > Para verificar falhas no servidor use o nessus.
> > > http://www.nessus.org/download/
> > >
> > > Tem o pacote para Fedora 5, 6 e 7.
> > >
> > > Em 28/08/07, Adere - Levi / Analista de Suporte Linux
> <levi.alves em adere.com >
> > > escreveu:
> > > > existe algum procedimneto ou comandos
> > > >
> > > > --
> > > > ----
> > > > Levi Leopoldino Alves
> > > > T.I. - (19)2104-0700
> > > > Adere Produtos Auto-Adesivos Ltda
> > > > visite nosso site http://www.adere.com
> > > >
> > > > Esta mensagem tem caráter confidencial, se você recebeu-a por engano,
> > > > por favor delete-a imediatamente.
> > > >
> > > > --
> > > > Fedora-users-br mailing list
> > > > Fedora-users-br em redhat.com
> > > >
> https://www.redhat.com/mailman/listinfo/fedora-users-br
> > > >
> > >
> > >
> > >
> > > --
> > > Cristiano Furtado
> > > Gerente de TI - Projetos de Software Livre
> > > Embaixador do Fedora no Brasil
> > >
> > > Sites:
> > > http://www.projetofedora.org
> > > http://www.jasonnfedora.eti.br
> > > http://www.fedora.org.br
> > > http://www.ekaaty.com.br
> > > --
> > > Fedora-users-br mailing list
> > > Fedora-users-br em redhat.com
> > > https://www.redhat.com/mailman/listinfo/fedora-users-br
> > >
> > >
> >
> >
> > --
> > ------
> > Gustavo Picoloto, LPIC-1, SCSECA
> > http://cenoura.homelinux.com
> > ------
> >
> > --
> > Fedora-users-br mailing list
> > Fedora-users-br em redhat.com
> > https://www.redhat.com/mailman/listinfo/fedora-users-br
> >
>
>
>
> --
> Cristiano Furtado
> Gerente de TI - Projetos de Software Livre
> Embaixador do Fedora no Brasil
>
> Sites:
> http://www.projetofedora.org
> http://www.jasonnfedora.eti.br
> http://www.fedora.org.br
> http://www.ekaaty.com.br
> --
> Fedora-users-br mailing list
> Fedora-users-br em redhat.com
> https://www.redhat.com/mailman/listinfo/fedora-users-br
>
>
--
------
Gustavo Picoloto, LPIC-1, SCSECA
http://cenoura.homelinux.com
------
Mais detalhes sobre a lista de discussão Fedora-users-br