[Fedora-users-br] análise de vulnerabilidade no servidor

Otto Fuchshuber Filho o2to2f em gmail.com
Ter Ago 28 23:41:14 UTC 2007 

Leitura recomendada:
http://www.cert.br/docs/seg-adm-redes/
http://cartilha.cert.br (este para usuários)

E ainda, explorando o site há muito material sobre o tema.
http://www.cert.br/

Recomendo ainda os cursos ministrados pelos CERT.br, são muito 
bons, com destaque especial para os instrutores cujos 
conhecimento técnico e didática são excelentes.
http://www.cert.br/cursos/

O CERT.br é o grupo de resposta a incidentes de segurança para a 
Internet brasileira, mantido pelo NIC.br, do Comitê Gestor da 
Internet no Brasil. O CERT.br é responsável por receber, analisar 
e responder a incidentes de segurança envolvendo redes conectadas 
à Internet no Brasil.

Saudações,
Otto Fuchshuber Filho
o2to2f em gmail.com

Anderson Kaiser escreveu, Em 28-08-2007 20:01:
> 
> 
> Em 28/08/07, *Cristiano Furtado* <jasonnfedora em gmail.com 
> <mailto:jasonnfedora em gmail.com>> escreveu:
> 
>     Nunca deve-se usar senha do tipo conhecidas. As minhas senhas são
>     macabras, mais imagine o que é MACABRA? Todas as minhas senhas são
>     acima de 13 digitos. Em relação ao John the Ripper realmente é uma
>     otima opção. Usei ele mais a muito tempo mesmo atras. Hoje as minhas
>     senhas são geralmente trocadas de 15 em 15 dias. (Ja estou Falando
>     demais...)
> 
> 
> Bem, falar de segurança é sempre muito complicado. Eu definiria 
> segurança como um modo de adiar o momento do ataque, pois um dia você 
> será atacado. Bem, deixando a paranóia de lado. Segurança é algo 
> fundamental, mas que ninguém se preocupa muito hoje em dia.
> 
> Claro que para um ambiente seguro, tem que se levar em conta o que se 
> roda, qual a necessidade de se rodar tal programa entre diversos otros 
> fatores. Um firewall, por exemplo, tem que ser o mais seguro de uma 
> empresa. Já um servidor de arquivos, não terá a mesma segurança que o 
> firewall, pois seria quase que impossível utilizá-lo, dar permissões e 
> ser tão flexível como tem que ser.
> 
> Boas praticas de segurança? Bem, é complicado, mas não impossível.
> 
> Algomas dicas do que se pode fazer em um sistema para deixá-lo mais seguro:
> 
> - Hardering
> Ou seja, tirar as permissões de quase tudo. Exemplos?
> SUID de arquivos - Não permitir que nenhum arquivo rode com permissões 
> de dono de outro usuário
> /etc/passwd com quase nenhum serviço rodando com um shell válido 
> (somente os extremamente necessários)
> Politica bem definida com o PAM. Limitando acesso por horário, por 
> usuário etc.
> Ainda no PAM, usar cracklib para definição de senhas etc.
> Configurar as partições, principalmente /home, /tmp, /var/log com os 
> parâmetros NOSUID, NOEXEC
> Configurar a variável TMOUT para os usuário logados.
> Bloquer login de root, só permitindo su, e ainda assim para usuários 
> específicos.
> SSH com chave.
> Senha no gerenciador de boot
> 
> Criar um sistema que rode em chroot, como serviços enjaulados. Um bom 
> exemplo seria apache, ftp, e serviços que seriam abertos à acessos externos.
> 
> Utilizar um registro de eventos com o Syslog-NG
> 
> Um IDS bem configurado.
> 
> Programas para checar vulnerabilidades.
> 
> Bem, por ai já deve-se ter uma idéia do tanto de trabalho que é pensar 
> em segurança. Isso por que não mencionei metado do necessário e possível.
> 
> Segurança é algo bem complexo, que exige muito de um Administrador. 
> Analise de logs, acompanhamentos, check-list de verificações.
> 
> Tenho um conhecido que fala: "Para se proteger, pense como um cracker. 
> Imagine as formas que você usaria para entrar em sua rede. Para saber se 
> está vulnerável, tente se invadir, mas com determinação, com vontade de 
> quem quer obter lucro tendo acessos à seus arquivos."
> 
> Bem, acho que deu pra passar uma idéia do que quis dizer, mas também 
> acho que me delonguei muito.
> 
> Abraços.
> 
> -- 
> Anderson Kaiser
> alpkaiser em gmail.com <mailto:alpkaiser em gmail.com>
> Linux User #: 426240
> (1011) 10000011000100100110010000011000
> 
> 
> ------------------------------------------------------------------------
> 
> --
> Fedora-users-br mailing list
> Fedora-users-br em redhat.com
> https://www.redhat.com/mailman/listinfo/fedora-users-br

Mais detalhes sobre a lista de discussão Fedora-users-br