Re: [Fedora-users-br] análise de vulnerabilidade no servidor

[Anderson Kaiser]

Em 28/08/07, Cristiano Furtado <jasonnfedora em gmail.com> escreveu:
>
> Nunca deve-se usar senha do tipo conhecidas. As minhas senhas são
> macabras, mais imagine o que é MACABRA? Todas as minhas senhas são acima de
> 13 digitos. Em relação ao John the Ripper realmente é uma otima opção. Usei
> ele mais a muito tempo mesmo atras. Hoje as minhas senhas são geralmente
> trocadas de 15 em 15 dias. (Ja estou Falando demais...)
>

Bem, falar de segurança é sempre muito complicado. Eu definiria segurança
como um modo de adiar o momento do ataque, pois um dia você será atacado.
Bem, deixando a paranóia de lado. Segurança é algo fundamental, mas que
ninguém se preocupa muito hoje em dia.

Claro que para um ambiente seguro, tem que se levar em conta o que se roda,
qual a necessidade de se rodar tal programa entre diversos otros fatores. Um
firewall, por exemplo, tem que ser o mais seguro de uma empresa. Já um
servidor de arquivos, não terá a mesma segurança que o firewall, pois seria
quase que impossível utilizá-lo, dar permissões e ser tão flexível como tem
que ser.

Boas praticas de segurança? Bem, é complicado, mas não impossível.

Algomas dicas do que se pode fazer em um sistema para deixá-lo mais seguro:

- Hardering
Ou seja, tirar as permissões de quase tudo. Exemplos?
SUID de arquivos - Não permitir que nenhum arquivo rode com permissões de
dono de outro usuário
/etc/passwd com quase nenhum serviço rodando com um shell válido (somente os
extremamente necessários)
Politica bem definida com o PAM. Limitando acesso por horário, por usuário
etc.
Ainda no PAM, usar cracklib para definição de senhas etc.
Configurar as partições, principalmente /home, /tmp, /var/log com os
parâmetros NOSUID, NOEXEC
Configurar a variável TMOUT para os usuário logados.
Bloquer login de root, só permitindo su, e ainda assim para usuários
específicos.
SSH com chave.
Senha no gerenciador de boot

Criar um sistema que rode em chroot, como serviços enjaulados. Um bom
exemplo seria apache, ftp, e serviços que seriam abertos à acessos externos.

Utilizar um registro de eventos com o Syslog-NG

Um IDS bem configurado.

Programas para checar vulnerabilidades.

Bem, por ai já deve-se ter uma idéia do tanto de trabalho que é pensar em
segurança. Isso por que não mencionei metado do necessário e possível.

Segurança é algo bem complexo, que exige muito de um Administrador. Analise
de logs, acompanhamentos, check-list de verificações.

Tenho um conhecido que fala: "Para se proteger, pense como um cracker.
Imagine as formas que você usaria para entrar em sua rede. Para saber se
está vulnerável, tente se invadir, mas com determinação, com vontade de quem
quer obter lucro tendo acessos à seus arquivos."

Bem, acho que deu pra passar uma idéia do que quis dizer, mas também acho
que me delonguei muito.

Abraços.

-- 
Anderson Kaiser
alpkaiser em gmail.com
Linux User #: 426240
(1011) 10000011000100100110010000011000
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://listman.redhat.com/archives/fedora-users-br/attachments/20070828/cb03adaf/attachment.htm>