|
Dicas "básicas"
para manter seu Linux cada vez mais seguro
Limite o número
de programas que necessitam de SUID root no seu sistema
Programas SUID root são programas que, quando rodam, rodam com
permissão total no sistema. Algumas vezes é preciso, mas
muitas vezes não. Os programas SUID root podem fazer qualquer coisa
que o root pode tendo um alto nível de responsabilidade em termos
de segurança.
Rode programas com privilégio
mínimo no acesso
Como foi dito antes, alguns programas não precisam ser root (ter
permissão total ao sistema) para serem rodados, mas precisam de
um alto acesso para o usuário normal. Aqui é onde começa
a idéia do privilégio mínimo de acesso. Por exemplo,
a LP (linha de impressora) possui comando que precisam de alto acesso
para o usuário normal (para acessar impressora), mas não
precisa rodá-los como root. Então, uma pequena coisa a fazer
é criar um usuário (/bin/true como shell) e um grupo chamado
lp e fazer com que qualquer usuário possa rodar qualquer dos comandos
de LP e fazer tudo com os comandos LP que tiverem como owner e grupo LP.
Isso fará com que o lp possa fazer seu trabalho (administre as
impressoras). Então, se o usuário LP estiver compromissado,
o invasor realmente não vai dar um passo de root no seu sistema.
Agora para alguns programas que são SUID root, crie um usuário
e um grupo para o programa.
Desabilite serviços que
você não precisa ou não usa
Se você não usa rpc.mountd, rpc.nfsd, ou outros daemons parecidos,
não rode-os. Simplesmente dê "kill -9" (comando
utilizado para matar processos, terminar o programa) neles, vá
nos scripts em /etc/rc.d e comente-os. Isso aumentará a memória
e seu sistema ficará menos carregados; é um meio de se prevenir
de invasores que tentam obter informações sobre seu sistema.
Tenha sempre os mais recentes
/lib´s
Os arquivos /lib´s são códigos share: quando um programa
precisa de uma certa peça do código, ele simplesmente vai
e pega este código). A vantagem não seria outra: Programas
são compilados menores, se uma peça do código lib
está desaparecido, você pode simplesmente fazer upgrade.
Desvantagens: o código desaparecido em /lib vai afetar alguns programas
e se um invasor puder suas mãos no /lib´s, você realmente
estará com dificuldades.
A melhor coisa a fazer corretamente os upgrades para as lib´s e
checar o tamanho e data freqüentemente nas alterações.
Encriptando nas conexões
O pacote Sniffing é simplesmente o melhor meio para pegar passwords
(senhas do sistema). O sniffer se acomoda em uma máquina, em uma
subrede não encriptada e o rendimento será centenas de logins
e passwords do ftp, telnet, Pop3. Não somente dos computadores
locais, mas também de outras redes de computadores. Agora você
pode dizer para você mesmo, "Mas eu tenho Firewall na minha
rede, então eu estou seguro". "Besteira". sniffers
atacam por trás dos firewalls, eles são instalados localmente.
Um sniffer poderá ser bem utilizado pelo administrador quando ele
quiser saber o que os outros estão fazendo em sua máquina,
já que ele irá interceptar pacotes enviados de uma máquina
para outra, mas em mãos erradas ele poderá causar muitos
danos a sua máquina.
Instale wrappers para /bin/login
e outros programas
Wrappers são programas pequenos, mas muito eficientes que filtram
o que está sendo enviado para o programa. O login wrapper "remove
todas as instâncias de várias variáveis do ambiente"
e o wrapper do sendmail faz mais ou menos o mesmo.
Mantenha seu Kernel na última
versão estável
Está dica realmente é aplicada a pessoas que possuem usuários
no seu sistema. Kernel antigos possuem seus bugs conhecidos por qualquer
pessoa e às vezes são muito instáveis. ainda mais
bugs locais, Kernel 2.4.X tendem a serem mais rápidos que as versões
1.2.X, 2.0.X e, é claro, mais estáveis. Uma boa opção
você é o script "getkernel.sh", Criado por Hugo
Souza ([email protected]), que serve para automatizar o download dos fontes
completos do kernel do Linux. Ele percorre todos os mirrors oficiais do
kernel.org, encontra o mais disponível no momento e faz o download.
Quem já tentou fazer download de uma versão do kernel no
próprio dia do lançamento sabe bem a dificuldade que é
encontrar um mirror que não esteja lotado ou lento. Transforme
este problema em coisa do passado!!
Em um outro artigo falaremos melhor sobre o Kernel, pois o Kernel é
a alma do sistema; sem kernel o sistema não seria um sistema ....
E nada melhor que ter um kernel sempre o mais seguro e atualizado possível.
http://www.linux.trix.net/getkernel-1.0.tar.gz
Ao compilar seu Kernel, somente compile o que
vai usar
Quatro razões para você compilar só o básico
de pacotes do kernel: O Kernel vai ficar mais rápido (menos códigos
para rodar), você vai ter mais memória, ficará mais
estável e partes não necessárias poderão ser
usadas por um invasor para obter acesso em outras máquinas.
Deixem saber o mínimo possível
sobre seu sistema
Um simples finger para o sistema da vítima pode revelar muitas
coisas sobre seu sistemas; Quantos usuários, quando o administrador
está dentro, ver o que ele está fazendo, quem ele é,
quem usa o sistema e informações pessoais que podem ajudar
um invasor a conseguir senhas de usuários. Você pode usar
um potente finger daemons e limitar quem pode conectar ao seu sistema
e exibir o mínimo possível sobre seu sistema.
Escolha boas senhas
Simplesmente ponha, senhas ruins é a chave para penetrar em seu
site. Se você instalar o shadow em uma Box, você pode escolher
para filtrar senhas ruins, tipo login: kewl, password: kewl, esta senha
já não seria aceita, e isto é uma boa idéia.
Sempre que você tiver uma pequena quantidade de pessoas no seu sistema,
e eles são amigos, algum usuário não convidado pode
obter root e fazer um "rm -rf /".
Se você puder, limite quem
pode se conectar ao seu linux
Se possível, bloqueie o acesso telnet, ftp, ssh, de fora da subnet
e bloqueie acesso direto do root apenas comentando o arquivo /etc/securetty.
Certamente que seja mais seguro e você vai ter a sorte de não
ter sistema danificado por estranhos.
Utilize um scan para encontrar possíveis
bugs no sistemas
Utilize o NESSUS, uma ferramenta de segurança desenvolvida por
Renaud Deraison, em 1998. Com ele é possível verificar várias
vulnerabilidades em seu sistema, sendo um dos melhores security scanner
na atualidade.
Faça o Download do Nessus em:
ftp://mirror.arc.nasa.gov/pub/tools/nessus/
Maiores informações: http://www.nessus.org
|
