[Fedora-users-br] análise de vulnerabilidade no servidor
Otto Fuchshuber Filho
o2to2f em gmail.com
Ter Ago 28 23:41:14 UTC 2007
Leitura recomendada:
http://www.cert.br/docs/seg-adm-redes/
http://cartilha.cert.br (este para usuários)
E ainda, explorando o site há muito material sobre o tema.
http://www.cert.br/
Recomendo ainda os cursos ministrados pelos CERT.br, são muito
bons, com destaque especial para os instrutores cujos
conhecimento técnico e didática são excelentes.
http://www.cert.br/cursos/
O CERT.br é o grupo de resposta a incidentes de segurança para a
Internet brasileira, mantido pelo NIC.br, do Comitê Gestor da
Internet no Brasil. O CERT.br é responsável por receber, analisar
e responder a incidentes de segurança envolvendo redes conectadas
à Internet no Brasil.
Saudações,
Otto Fuchshuber Filho
o2to2f em gmail.com
Anderson Kaiser escreveu, Em 28-08-2007 20:01:
>
>
> Em 28/08/07, *Cristiano Furtado* <jasonnfedora em gmail.com
> <mailto:jasonnfedora em gmail.com>> escreveu:
>
> Nunca deve-se usar senha do tipo conhecidas. As minhas senhas são
> macabras, mais imagine o que é MACABRA? Todas as minhas senhas são
> acima de 13 digitos. Em relação ao John the Ripper realmente é uma
> otima opção. Usei ele mais a muito tempo mesmo atras. Hoje as minhas
> senhas são geralmente trocadas de 15 em 15 dias. (Ja estou Falando
> demais...)
>
>
> Bem, falar de segurança é sempre muito complicado. Eu definiria
> segurança como um modo de adiar o momento do ataque, pois um dia você
> será atacado. Bem, deixando a paranóia de lado. Segurança é algo
> fundamental, mas que ninguém se preocupa muito hoje em dia.
>
> Claro que para um ambiente seguro, tem que se levar em conta o que se
> roda, qual a necessidade de se rodar tal programa entre diversos otros
> fatores. Um firewall, por exemplo, tem que ser o mais seguro de uma
> empresa. Já um servidor de arquivos, não terá a mesma segurança que o
> firewall, pois seria quase que impossível utilizá-lo, dar permissões e
> ser tão flexível como tem que ser.
>
> Boas praticas de segurança? Bem, é complicado, mas não impossível.
>
> Algomas dicas do que se pode fazer em um sistema para deixá-lo mais seguro:
>
> - Hardering
> Ou seja, tirar as permissões de quase tudo. Exemplos?
> SUID de arquivos - Não permitir que nenhum arquivo rode com permissões
> de dono de outro usuário
> /etc/passwd com quase nenhum serviço rodando com um shell válido
> (somente os extremamente necessários)
> Politica bem definida com o PAM. Limitando acesso por horário, por
> usuário etc.
> Ainda no PAM, usar cracklib para definição de senhas etc.
> Configurar as partições, principalmente /home, /tmp, /var/log com os
> parâmetros NOSUID, NOEXEC
> Configurar a variável TMOUT para os usuário logados.
> Bloquer login de root, só permitindo su, e ainda assim para usuários
> específicos.
> SSH com chave.
> Senha no gerenciador de boot
>
> Criar um sistema que rode em chroot, como serviços enjaulados. Um bom
> exemplo seria apache, ftp, e serviços que seriam abertos à acessos externos.
>
> Utilizar um registro de eventos com o Syslog-NG
>
> Um IDS bem configurado.
>
> Programas para checar vulnerabilidades.
>
> Bem, por ai já deve-se ter uma idéia do tanto de trabalho que é pensar
> em segurança. Isso por que não mencionei metado do necessário e possível.
>
> Segurança é algo bem complexo, que exige muito de um Administrador.
> Analise de logs, acompanhamentos, check-list de verificações.
>
> Tenho um conhecido que fala: "Para se proteger, pense como um cracker.
> Imagine as formas que você usaria para entrar em sua rede. Para saber se
> está vulnerável, tente se invadir, mas com determinação, com vontade de
> quem quer obter lucro tendo acessos à seus arquivos."
>
> Bem, acho que deu pra passar uma idéia do que quis dizer, mas também
> acho que me delonguei muito.
>
> Abraços.
>
> --
> Anderson Kaiser
> alpkaiser em gmail.com <mailto:alpkaiser em gmail.com>
> Linux User #: 426240
> (1011) 10000011000100100110010000011000
>
>
> ------------------------------------------------------------------------
>
> --
> Fedora-users-br mailing list
> Fedora-users-br em redhat.com
> https://www.redhat.com/mailman/listinfo/fedora-users-br
Mais detalhes sobre a lista de discussão Fedora-users-br