Melhorias generalizadas de segurança (parte 1)

Firewall nem sempre é a solução de segurança que todos precisam, algumas vezes podemos ter os resultados esperados de forma mais rápida e simples, em outras não sabemos como instalar e configurar um firewall. Esse artigo é para todos que querem seu sistema mais seguro, coloco aqui algumas das regras que utilizo sempre.

[ Hits: 48.982 ]

Por: Rodrigo Ferreira Valentim em 15/07/2004 | Blog: http://www.unitech.pro.br


Introdução



Esse é meu primeiro artigo, por isso sejam sinceros nas críticas e sugestões para que futuramente eu possa enviar artigos melhores.

Como sugere o título, esse artigo não é sobre como deixar seu Linux seguro, mas sim como deixa-lo mais seguro, com regras e configurações simples, das quais acredito que quase todos possam usar sem se preocupar com os resultados. É claro que cada sistema de segurança tem seu foco e por isso deve-se sempre verificar o que está fazendo, por isso verifique se precisa ou não de cada melhoria na segurança que estou propondo que se faça.

Esse artigo serve para todos os usuários de Linux, não importando o quanto se conhece, nem se o utiliza como servidor, desktop, em casa, etc. Tudo que você vai precisar é de tempo e saber como editar um arquivo, não importando qual o editor que você pretende utilizar.

O artigo está bem dividido, sendo assim vá direto ao tópico que achar melhor e não se preocupe em pular algum se achar necessário.

Já utilizei ou utilizo tudo que descrevo nesse artigo em servidores com as seguintes distros:
  • Red Hat;
  • Mandrake;
  • e Conectiva.

mas devem funcionar em todas as demais.
    Próxima página

Páginas do artigo
   1. Introdução
   2. Preparando-se
   3. Mudando senhas
   4. Timeout no login
   5. Exigindo senha ao iniciar pelo Linux Single
   6. Desabilitando o Ctrl+Alt+Del
   7. Removendo contas especiais
   8. Protegendo arquivos importantes
   9. Conclusão
Outros artigos deste autor

Melhorias generalizadas de segurança (parte 2)

AJAX - Parte 1

Desktop 3D Linux

Atualizando o Red Hat com o up2date

Dificuldades com o Debian Etch/Test

Leitura recomendada

Os 5 princípios básicos de segurança para empresas

Suporte TCP Wrapper - Serviços stand-alone no Debian 6

Reforçando a segurança das conexões HTTPS no Apache

Vazamento de informações vitais via "HP Operations Manager Perfd"

SSH Connection With non-NIST Russian Cipher and Distro for Military Use

  
Comentários
[1] Comentário enviado por alphainfo em 15/07/2004 - 11:50h

Ei Rodrigo, legal o teu artigo. Achei interessante setar a variável TMOUT para definir um tempo máximo de ociosidade no terminal.

Sobre a desabilitação do CTRL+ALT+DEL, poderia também fazer algo como:

ca::ctrlaltdel:/bin/echo "Naum desliga meu cpu!!"

hehehe, valew mesmo!

Daniel Freire

[2] Comentário enviado por gustavo_marcon em 15/07/2004 - 17:09h

Bastante interessante teu artigo, tem muita coisa legal. Fico esperando a parte 2 :)

[3] Comentário enviado por y2h4ck em 15/07/2004 - 17:34h

Ficou legal o artigo, muitos aspirantes administradores ficam entupindo o sistema com IDSs, e sistema de integridade e nao dao valor ao basico.

valew.

[4] Comentário enviado por bispo em 15/07/2004 - 18:18h

"Já estou com a parte 2 pronta, era para ser somente um artigo, mas acredito que se ficasse maior esse artigo, poucos se interessariam."

Achei seu comentário um pouco desanimado, o artigo está muito consistente e ajudou muito, principalmente porque existe muito material de segurança para servidores, Apache, etc... mas para usuários comuns (desktops) são poucos. Espero o próximo.

Bispo

[5] Comentário enviado por wiltomar em 15/07/2004 - 20:00h

Se a parte 2 do seu artigo for tão boa com a parte 1, cara vc continuará de parabéns, pois esse artigo é show.

[6] Comentário enviado por zehrique em 15/07/2004 - 21:49h

Pessoal,

Estou de acordo com todos vocês. Muito bom este artigo. E concordo também com o que o "Bispo" disse, há na rede muitos artigos sobre segurança profissional mas pouco se escreve para o usuário comum. Ainda mais agora que o Linux está sendo difundido cada vez mais, devido aos enormes buracos no "outro" SO.

[7] Comentário enviado por jllucca em 15/07/2004 - 23:56h

Aew

O artigo tá excelente achei ele ótimo abordando alguns pontos bem interressantes. So gostaria de saber uma coisa, a remoção das contas especiais não pode gerar problemas para o usuario comum? Como "usuario" ele pode vim a remover uma conta que pode vim a ser necessaria. Ex. : Um usuario fulano não tem impressora e removi o grupo lp. Após um tempo o "fulano", compra uma impressora e resolve instala-la. Como o sistema vai reagir quando for tentado instalar uma impressora? Vai recriar o grupo automaticamente? Ou ele precisara recria-lo na mão?

[]'s

[8] Comentário enviado por engos em 16/07/2004 - 08:01h

Obrigado a todos pelos comentários, agora que tenho uma idéia melhor se precisava ou não mudar como descrevo nos artigos vou mandar a parte 2 para ser avaliada e em breve ela deve estar sendo postada.

Bispo, você está certo sobre seu comentário, não havia percebido na hora, valeu pela cooperação!

Jllucca, quando você remove essas contas especiais e precisa delas futuramente em alguns casos elas são criadas automaticamente e em outros não, vai depender de como é feita a instalação (melhor dizendo, o arquivo de shell script, pois se for um pacote de RPM não instala). Sendo assim fica a critério de cada um remover todos aqueles grupos ou não, mas quando se trata de segurança a regra é simples: "Remova o que não usa e se precisar, quando precisar, instale ou adicione". Só para completar, tenho 2 impressoras em casa, uma matricial, outra jato de tinta e não tenho o grupo lp.

Valeu pelo comentário pessoal!
[]s

[9] Comentário enviado por fr33m4n em 20/07/2004 - 00:47h

Achei muito fraco o artigo.

Melhoras no proximo.

fr33m4n

[10] Comentário enviado por naoexistemais em 07/08/2004 - 22:52h

Caro fr33m4n,

Esses tipos de comentários só gera flames, então nos próximos comentários, relate os pontos que você achou "errado" no artigo e não dizer que achou o artigo fraco.

Obs.: Essas atitudes só me deixa cada dia assutado.

[11] Comentário enviado por vargas em 07/08/2004 - 23:52h

Ai cara, ótimo artigo!

Eu estou começando agora no mundo linux entendi legal teu artigo e vo le o segundo agora, porém acredito que se você especificasse determinadas partes como:

#!/bin/bash
# /root/bin/protege
set -v
chattr $1 /etc/passwd /etc/group /etc/shadow /etc/gshadow /etc/services

pra que serve isso, mas é que eu sou um pouco ignorante então ta blz!

[12] Comentário enviado por engos em 09/08/2004 - 15:13h

Valeu pelo apoio fr33m4n, críticas metendo o pau não tem problema, mas é difícil quando não se sabe o que está fraco...

:)

Vargas,

Isso é para que ao invés de ficar toda hora dando esse comando para adicionar e remover um usuário do sistema, você rode o script com a opção +i (protege) ou -i (desprotege), da seguinte forma:

#protege +i
ou
#protege -i

Se esses arquivos estiverem protegidos, nem o root consegue modifica-los, por isso você tem que desproteger e proteger sempre for adicionar/remover um usuário.

Você pode fazer um teste e proteger um arquivo qualquer e tentar modica-lo ou deleta-lo, sendo root ou não e vai entender na prática.

[13] Comentário enviado por removido em 15/02/2006 - 13:39h

Eu apenas não entendi a razão de excluir os usuários que do sistema.
Pelo que entendo, já que os mesmos não tem senha, não conseguem efetuar login no sistema.
Abs

[14] Comentário enviado por marcoaw em 07/02/2012 - 10:51h

Muito Bom !!! Valeu mesmo!!! , vou implementar já !!


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts