Re: [Fedora-users-br] análise de vulnerabilidade no servidor
Cristiano Furtado
jasonnfedora em gmail.com
Ter Ago 28 14:28:43 UTC 2007
Em 28/08/07, Gustavo Picoloto <picoloto em gmail.com> escreveu:
>
> Olá,
>
> O problema é que como você está fazendo (lendo logs) você vai saber
> que aconteceu (resumindo, seu servidor já era) sendo que, a meu ver, o
> ideal é evitar que aconteça.
>
> Algumas sugestões:
>
> * Mantenha os pacotes atualizados, se não pode aplicar todos os
> patches, tente aplicar pelo menos os de segurança nos serviços que
> abrem conexões tcp/udp.
Nem sempre os pacotes mais atualizados são os mais seguros. Ainda acho a
melhor idéia ficar de olho nas falhas de segurança no proprio site do
bugzilla.
* Tenha uma boa política de senhas (tamanho, complexidade e expiração).
sempre usar acima de 13 digitos
* Deixe apenas o mínimo necessário em execução no servidor.
Evitando usar pacotes para modo gráfico e principalmente se for firewall
perl e outros.
* Procure restringir o acesso administrativo ao mínimo possível de
> usuários e obrigue-os a usar "su" para tarefas administrativas (jamais
> logar direto como root).
hehehe isso é o que os administradores mais fazem, e isso é uma lista
gigante :)
* Verifique se as permissões de arquivos críticos estão restritas (no
> /etc e /var/log).
Sem resposta .. ... ..
[]'s
>
> Gustavo Picoloto
>
>
>
> Em 28/08/07, Cristiano Furtado<jasonnfedora em gmail.com> escreveu:
> > Geralmente eu faço com que no final do dia seja mandado para mim um log
> via
> > email para que eu possa ver se houve algum tipo de ataque ou algo
> parecido.
> > Até hoje so passei por um aperto, mais resolvi muito rapido, pois tinha
> > visto que em um horario (de madruga) um cara tinha tentado atacar meu
> > servidor com força bruta, mais vi de que forma ele estava tentando e
> mudei
> > logo. Isso foi a mais de meses e até hoje não sofri mais nenhum tipo de
> > ataque :). Eu sempre usei o nessus por não encontrar uma outra
> ferramenta
> > que pudesse me trazer pelo menos um resultado sabe? Ja tenho pesquisado
> > sobre isso a tempos, e realmente não encontrei nenhuma. Então prefiro
> ficar
> > ligado todos os dias no que aconteceu pela madrugada ou de dia mesmo.
> >
> >
> > Em 28/08/07, Gustavo Picoloto <picoloto em gmail.com> escreveu:
> > > Olá,
> > >
> > > Para vulnerabilidades remotas, o nessus é digamos "a melhor relação
> > > custo X benefício". Ele procura as vulnerabilidades mais comuns, mas
> > > não procura todas. O nessus não faz certas coisas como ver se o ssh
> > > está permitindo acesso remoto de root e a senha do mesmo é "root". Ele
> > > também não consegue ver se determinado usuário está no grupo wheel e
> > > pode executar "sudo su -". Entendeu o que tentei mostrar? Este tipo de
> > > coisa é muito mais comum do que se possa imaginar e o nessus não faz.
> > >
> > > Ah sim, não é óbvio desativar o firewall pois para uma análise real de
> > > vulnerabilidades o firewall deve estar ativo pois um possível invasor
> > > não vai te pedir para desativar o firewall para invadir, ele vai
> > > tentar invadir do jeito que a rede está. Uma análise dessas poderia
> > > descobrir regras de firewall incorretas e depois disso descobrir
> > > configurações incorretas no servidor.
> > >
> > > O ideal é ter um checklist a ser seguido e aplicar tudo ou o máximo de
> > > regras possíveis e para isso, até onde eu saiba, não tem uma
> > > ferramenta que "faz tudo".
> > >
> > > Se quiserem/precisarem, eu posso passar algumas dicas genéricas e
> > > tirar dúvidas mas infelizmente não posso passar o checklist que
> > > conheço devido a um contrato que tenho assinado com a empresa onde
> > > trabalho e outro com a empresa onde trabalhei até recentemente :(
> > >
> > > Uma sugestão é procurar na internet por "linux security enforcing",
> > > "linux security hardening" e coisas do tipo. Depois, procurar fazer o
> > > mesmo com os serviços que a máquina tem disponível (ssh e apache por
> > > exemplo). Tudo o que tem no checklist de onde trabalho tem na
> > > internet, mas não está tudo concentrado no mesmo lugar.
> > >
> > > []'s
> > >
> > > Gustavo Picoloto
> > >
> > > Em 28/08/07, Cristiano Furtado<jasonnfedora em gmail.com> escreveu:
> > > > Mais neste caso o mais obvio é que o firewall esteja desativado para
> > esse
> > > > proposito. Eu ainda desconheço uma ferramenta tão util quanto o
> nessus.
> > > > Picoloto, você tem idéia de uma outra ferramenta?
> > > >
> > > > Em 28/08/07, Gustavo Picoloto <picoloto em gmail.com> escreveu:
> > > > > Olá,
> > > > >
> > > > > O nessus é razoavelmente bom para serviços de rede e só funciona
> bem
> > > > > se você tiver um firewall sem regras no caminho entre a máquina
> com o
> > > > > nessus e a máquina a ser analisada (nem sempre pode instalar o
> nessus
> > > > > no servidor a ser analisado).
> > > > >
> > > > > Além disso, há outras coisas que podem ser feitas e o nessus não
> faz,
> > > > > por exemplo, ele não vê se todos as atualizações de segurança
> foram
> > > > > aplicadas e nem se você tem uma boa política de senhas na máquina.
> Mas
> > > > > em todo o caso, o nessus é algo bom para se ter um começo :)
> > > > >
> > > > > Dependendo da criticidade do servidor, tem muita coisa que pode
> ser
> > > > > feita ... mas nem sempre vale a pena ($$$) o investimento.
> > > > >
> > > > > []´s
> > > > > Gustavo Picoloto
> > > > >
> > > > >
> > > > > Em 28/08/07, Cristiano Furtado<jasonnfedora em gmail.com> escreveu:
> > > > > > Para verificar falhas no servidor use o nessus.
> > > > > > http://www.nessus.org/download/
> > > > > >
> > > > > > Tem o pacote para Fedora 5, 6 e 7.
> > > > > >
> > > > > > Em 28/08/07, Adere - Levi / Analista de Suporte Linux
> > > > <levi.alves em adere.com >
> > > > > > escreveu:
> > > > > > > existe algum procedimneto ou comandos
> > > > > > >
> > > > > > > --
> > > > > > > ----
> > > > > > > Levi Leopoldino Alves
> > > > > > > T.I. - (19)2104-0700
> > > > > > > Adere Produtos Auto-Adesivos Ltda
> > > > > > > visite nosso site http://www.adere.com
> > > > > > >
> > > > > > > Esta mensagem tem caráter confidencial, se você recebeu-a por
> > engano,
> > > > > > > por favor delete-a imediatamente.
> > > > > > >
> > > > > > > --
> > > > > > > Fedora-users-br mailing list
> > > > > > > Fedora-users-br em redhat.com
> > > > > > >
> > > > https://www.redhat.com/mailman/listinfo/fedora-users-br
> > > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > > --
> > > > > > Cristiano Furtado
> > > > > > Gerente de TI - Projetos de Software Livre
> > > > > > Embaixador do Fedora no Brasil
> > > > > >
> > > > > > Sites:
> > > > > > http://www.projetofedora.org
> > > > > > http://www.jasonnfedora.eti.br
> > > > > > http://www.fedora.org.br
> > > > > > http://www.ekaaty.com.br
> > > > > > --
> > > > > > Fedora-users-br mailing list
> > > > > > Fedora-users-br em redhat.com
> > > > > >
> > https://www.redhat.com/mailman/listinfo/fedora-users-br
> > > > > >
> > > > > >
> > > > >
> > > > >
> > > > > --
> > > > > ------
> > > > > Gustavo Picoloto, LPIC-1, SCSECA
> > > > > http://cenoura.homelinux.com
> > > > > ------
> > > > >
> > > > > --
> > > > > Fedora-users-br mailing list
> > > > > Fedora-users-br em redhat.com
> > > > >
> > https://www.redhat.com/mailman/listinfo/fedora-users-br
> > > > >
> > > >
> > > >
> > > >
> > > > --
> > > > Cristiano Furtado
> > > > Gerente de TI - Projetos de Software Livre
> > > > Embaixador do Fedora no Brasil
> > > >
> > > > Sites:
> > > > http://www.projetofedora.org
> > > > http://www.jasonnfedora.eti.br
> > > > http://www.fedora.org.br
> > > > http://www.ekaaty.com.br
> > > > --
> > > > Fedora-users-br mailing list
> > > > Fedora-users-br em redhat.com
> > > > https://www.redhat.com/mailman/listinfo/fedora-users-br
> > > >
> > > >
> > >
> > >
> > > --
> > > ------
> > > Gustavo Picoloto, LPIC-1, SCSECA
> > > http://cenoura.homelinux.com
> > > ------
> > >
> > > --
> > > Fedora-users-br mailing list
> > > Fedora-users-br em redhat.com
> > > https://www.redhat.com/mailman/listinfo/fedora-users-br
> > >
> >
> >
> >
> > --
> > Cristiano Furtado
> > Gerente de TI - Projetos de Software Livre
> > Embaixador do Fedora no Brasil
> >
> > Sites:
> > http://www.projetofedora.org
> > http://www.jasonnfedora.eti.br
> > http://www.fedora.org.br
> > http://www.ekaaty.com.br
> > --
> > Fedora-users-br mailing list
> > Fedora-users-br em redhat.com
> > https://www.redhat.com/mailman/listinfo/fedora-users-br
> >
> >
>
>
> --
> ------
> Gustavo Picoloto, LPIC-1, SCSECA
> http://cenoura.homelinux.com
> ------
>
> --
> Fedora-users-br mailing list
> Fedora-users-br em redhat.com
> https://www.redhat.com/mailman/listinfo/fedora-users-br
>
--
Cristiano Furtado
Gerente de TI - Projetos de Software Livre
Embaixador do Fedora no Brasil
Sites:
http://www.projetofedora.org
http://www.jasonnfedora.eti.br
http://www.fedora.org.br
http://www.ekaaty.com.br
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://listman.redhat.com/archives/fedora-users-br/attachments/20070828/148fdf20/attachment.htm>
Mais detalhes sobre a lista de discussão Fedora-users-br