Vulnerabilidade e segurança no Linux
Este artigo tem a proposta de levantar a discussão sobre as vulnerabilidades do sistema operacional Linux. Mesmo sabendo-se que o Linux é o sistema operacional mais seguro que existe, fica o ALERTA: O Linux pode ser tão vulnerável quanto um Windows. Esta leitura é indicada principalmente para quem está iniciando. Espero que seja bastante produtiva.
[ Hits: 83.920 ]
Por: Dornelles Vissotto Junior em 27/09/2004
Dicas gerais de segurança
- Sempre atualize o seu sistema operacional. Nenhuma regra de segurança é páreo para um bug...
- Rode somente os serviços necessários para a operação da sua rede. Serviços que não são muito utilizados caem no esquecimento do administrador.
- Verifique se os serviços estão rodando com privilégios de root, estas permissões geralmente causam os maiores furos na segurança. Se não for necessário, desabilite esta opção.
- Verifique se os serviços estão configurados adequadamente à sua rede. Tutoriais e "How-To" geralmente indicam o caminho de como configurar, mas na sua maioria não são muito específicos.
- Estabeleça uma política de segurança para a sua rede, como por exemplo, serviços de compartilhamento disponíveis, política de senhas, etc.
- Firewall. Estabeleça um filtro de tudo que entra na sua rede. De preferência feche todas as portas que não são necessárias para o funcionamento do servidor.
- Evite serviços de comunicação p2p, como servidores de músicas, vídeos e até chats e mensagens.
- Como última dica: monitore. Diz o ditado, "O boi só engorda aos olhos do seu dono". Se você cuida da sua rede, dificilmente terá problemas de vulnerabilidade.
Agradeço a atenção e espero que este artigo cause muita discussão por aí.
Obrigado.
Dornelles.
Páginas do artigo
1. As maiores vulnerabilidades do Linux2. Como diminuir a vulnerabilidade
3. Dicas gerais de segurança
Outros artigos deste autor
Transmissão de dados via telemetria: uma opção de comunicação remota
Configurando placa de som Sound Blaster Live!
Como elaborar perguntas para listas de discussão
Codificação de caracteres de arquivos ASCII
Leitura recomendada
Detectando possíveis trojans e lkms em seu servidor
Melhorando a segurança do Firewall com Bridges usando Snort_Inline no Debian Etch
Introdução ao Personal Firewall (PF)
Comentários
[1] Comentário enviado por y2h4ck em 27/09/2004 - 10:39h
Primeiro:
"Mesmo sabendo-se que o Linux é o sistema operacional mais seguro que existe, fica o ALERTA: O Linux pode ser tão vulnerável quanto um Windows." isso esta longe de ser real, linux nao e o sistema mais seguro do mundo, principalmente se for comparado como OpenBSD que esta a mais de oito anos sem uma vulnerabilidade remota em sua instalação Default.
Outra coisa que vc passou e eu achei estranho foi o seguinte:
"Sendmail: tem tal vulnerabilidade ...
bind: tem tal vulnerabilidade... "
O que realmente não é assim... nao existem vulnerabilidades pré-definidas, as vulnerabilidades que entram em cena sao explorações muitas vezes de alto nivel, portanto não se pode prever determinada vulnerabilidade até que a mesma seja encontrada e documentada.
Creio que não existem passos para tornar um sistema mais seguro, a não realmente criar uma verdadeira mentalidade de segurança, e pensar com mais segurança. Deixar o sistema sempre atualizado é uma boa maneira de deixa-lo seguro, a questao nao e por quanto tempo, mas sim : ele esta apto a resistir quando uma falha surgir ??
Bom é meu ponto de vista :)
falow
Primeiro:
"Mesmo sabendo-se que o Linux é o sistema operacional mais seguro que existe, fica o ALERTA: O Linux pode ser tão vulnerável quanto um Windows." isso esta longe de ser real, linux nao e o sistema mais seguro do mundo, principalmente se for comparado como OpenBSD que esta a mais de oito anos sem uma vulnerabilidade remota em sua instalação Default.
Outra coisa que vc passou e eu achei estranho foi o seguinte:
"Sendmail: tem tal vulnerabilidade ...
bind: tem tal vulnerabilidade... "
O que realmente não é assim... nao existem vulnerabilidades pré-definidas, as vulnerabilidades que entram em cena sao explorações muitas vezes de alto nivel, portanto não se pode prever determinada vulnerabilidade até que a mesma seja encontrada e documentada.
Creio que não existem passos para tornar um sistema mais seguro, a não realmente criar uma verdadeira mentalidade de segurança, e pensar com mais segurança. Deixar o sistema sempre atualizado é uma boa maneira de deixa-lo seguro, a questao nao e por quanto tempo, mas sim : ele esta apto a resistir quando uma falha surgir ??
Bom é meu ponto de vista :)
falow
[2] Comentário enviado por dvissotto em 27/09/2004 - 11:27h
Bom, em primeiro lugar agradeço os comentários para o meu artigo "Vulnerabilidade e segurança no linux".
Houve um equívoco talvez quanto ao título do artigo, pois minha intenção estava longe de atrair "experts" na área de segurança. Por isto, este comentário é uma espécie de retratação.
O artigo destina-se aos aventureiros linux, que já não são poucos e estão inflacionando as listas de discussão querendo soluções rápidas e baratas para melhorarem a segunrança sem querer aprender muito. Logo, quando falo em o linux ser o sistema operacional mais seguro, estou falando dos sistemas operacionas "amigáveis", ou seja, aqueles que o usuário pode instalar e operar com uma certa facilidade.
Com relação as vulnerabilidades encontradas (bind, sendmail, etc...) são as reportadas no link de uma pesquisa realizada em 2003 e sem resultados atualizados ainda, logo, as vulnerabilidades FORAM reportadas nesta pesquisa e não pré-definidas ou previstas. Fazem parte de uma ESTATÍSTICA que é aqui comentada.
Concordo plenamente que a melhor política é criar uma mentalidade de segurança. Esta não se aprende passo-a-passo. É preciso experiência e conhecimento. Isto não é possível somente com um artigo sobre segurança. O que pretendi fazer foi criar alguns cuidados básicos para as pessoas menos pacientes que querem resultados rápidos.
Meu artigo NÃO apresenta uma solução de segurança para o sistema operacional linux, mas somente comentários sobre o assunto, válido, até certo nível de conhecimento em Sistemas Operacionais.
Obrigado.
Bom, em primeiro lugar agradeço os comentários para o meu artigo "Vulnerabilidade e segurança no linux".
Houve um equívoco talvez quanto ao título do artigo, pois minha intenção estava longe de atrair "experts" na área de segurança. Por isto, este comentário é uma espécie de retratação.
O artigo destina-se aos aventureiros linux, que já não são poucos e estão inflacionando as listas de discussão querendo soluções rápidas e baratas para melhorarem a segunrança sem querer aprender muito. Logo, quando falo em o linux ser o sistema operacional mais seguro, estou falando dos sistemas operacionas "amigáveis", ou seja, aqueles que o usuário pode instalar e operar com uma certa facilidade.
Com relação as vulnerabilidades encontradas (bind, sendmail, etc...) são as reportadas no link de uma pesquisa realizada em 2003 e sem resultados atualizados ainda, logo, as vulnerabilidades FORAM reportadas nesta pesquisa e não pré-definidas ou previstas. Fazem parte de uma ESTATÍSTICA que é aqui comentada.
Concordo plenamente que a melhor política é criar uma mentalidade de segurança. Esta não se aprende passo-a-passo. É preciso experiência e conhecimento. Isto não é possível somente com um artigo sobre segurança. O que pretendi fazer foi criar alguns cuidados básicos para as pessoas menos pacientes que querem resultados rápidos.
Meu artigo NÃO apresenta uma solução de segurança para o sistema operacional linux, mas somente comentários sobre o assunto, válido, até certo nível de conhecimento em Sistemas Operacionais.
Obrigado.
[3] Comentário enviado por androle em 27/09/2004 - 21:04h
Achei bem interessante. Para quem não é profissional do ramo e está iniciando é um artigo bem útil. E acho que até para quem é.
Indica onde começar a procurar, ou pesquisar. E a não ficar tranquilo com a instalação default. Se vc nem sabe o que está acontecendo na sua máquina, por que não tem idéia do que acontece, é difícil ter segurança.
Esse é o problema, e acho que a mentalidade do usuário médio tende a, muito lentamente, mudar com o tempo. Acho que com a popularização da banda larga e de máquinas sempre conectadas as pessoas começarão a ver ataques e invasões como algo mais próximo. Mais uma violência para atormentar o cidadão médio. E logo haverá pelo menos um interesse em saber mais. Do mesmo modo que não sou especialista em segurança pessoal e mesmo assim evito ruas escuras, coloco grades na janela, etc., com o tempo os usuários vão começar a pensar mais nisso em relação a computadores.
Saber que simplesmente instalar o Linux e ficar tranquilo não é suficiente é um bom começo. Tem de pelo menos saber o que pode desligar e o que não pode. Lembro que uma vez, quando usava RedHat ou Conectiva, não sabia o que podia desabilitar no ntsysv. E convenhamos, quem está iniciando e é usuário doméstico nem sabe onde começar a procurar informação sobre isso.
Por isso achei bom o seu artigo, indica onde começar a procurar entender, procurar saber o que são todas aquelas siglas no boot. :)
Leandro
Achei bem interessante. Para quem não é profissional do ramo e está iniciando é um artigo bem útil. E acho que até para quem é.
Indica onde começar a procurar, ou pesquisar. E a não ficar tranquilo com a instalação default. Se vc nem sabe o que está acontecendo na sua máquina, por que não tem idéia do que acontece, é difícil ter segurança.
Esse é o problema, e acho que a mentalidade do usuário médio tende a, muito lentamente, mudar com o tempo. Acho que com a popularização da banda larga e de máquinas sempre conectadas as pessoas começarão a ver ataques e invasões como algo mais próximo. Mais uma violência para atormentar o cidadão médio. E logo haverá pelo menos um interesse em saber mais. Do mesmo modo que não sou especialista em segurança pessoal e mesmo assim evito ruas escuras, coloco grades na janela, etc., com o tempo os usuários vão começar a pensar mais nisso em relação a computadores.
Saber que simplesmente instalar o Linux e ficar tranquilo não é suficiente é um bom começo. Tem de pelo menos saber o que pode desligar e o que não pode. Lembro que uma vez, quando usava RedHat ou Conectiva, não sabia o que podia desabilitar no ntsysv. E convenhamos, quem está iniciando e é usuário doméstico nem sabe onde começar a procurar informação sobre isso.
Por isso achei bom o seu artigo, indica onde começar a procurar entender, procurar saber o que são todas aquelas siglas no boot. :)
Leandro
[4] Comentário enviado por Xxoin em 29/09/2004 - 01:17h
Artigo muito bom. Bem argumentado e atendeu com sobra a proposta do autor...
Artigo muito bom. Bem argumentado e atendeu com sobra a proposta do autor...
[5] Comentário enviado por nico_di_mafre em 17/11/2004 - 16:46h
Interessante este artigo, pois mesmo com tanta segurança ñ custa nada se previnir um pouco mais!!!
Interessante este artigo, pois mesmo com tanta segurança ñ custa nada se previnir um pouco mais!!!
[6] Comentário enviado por wavemmx em 14/10/2005 - 11:02h
Sempre nos só criticamos o sistema da micro$oft. Só porque estamos com o Linux não quer dizer que estamos seguros (sempre ja vi aquela frase, "O linux é estável, versátil e seguro") e nós com a nossa ingenuidade esquecemos de atualizar o sistema, manter um firewall ativa e definir uma boa política de senhas e usar serviços seguros. O artigo é "show" me da mais motivo para eu ficar alerta
Sempre nos só criticamos o sistema da micro$oft. Só porque estamos com o Linux não quer dizer que estamos seguros (sempre ja vi aquela frase, "O linux é estável, versátil e seguro") e nós com a nossa ingenuidade esquecemos de atualizar o sistema, manter um firewall ativa e definir uma boa política de senhas e usar serviços seguros. O artigo é "show" me da mais motivo para eu ficar alerta
[7] Comentário enviado por ZX350 em 09/11/2005 - 10:11h
Que lavada, bom pra gente ter mais atenção na nossa rede, como disse o wavemmx "ñ é so pq estamos com o linux q estamos seguros". Vamos ficar espertos.
Que lavada, bom pra gente ter mais atenção na nossa rede, como disse o wavemmx "ñ é so pq estamos com o linux q estamos seguros". Vamos ficar espertos.
[8] Comentário enviado por sbarra em 23/11/2005 - 14:46h
Realmente para iniciantes, este artigo esta muito bom, pois alerta-os que um Linux não apenas instalar "netx=>next=>next" e pronto.
Sempre a necessidade de configura-lo adequadamente e principalmente mante-lo sempre atualizado.
Realmente para iniciantes, este artigo esta muito bom, pois alerta-os que um Linux não apenas instalar "netx=>next=>next" e pronto.
Sempre a necessidade de configura-lo adequadamente e principalmente mante-lo sempre atualizado.
[9] Comentário enviado por Penrral em 26/02/2006 - 14:24h
Caro Dornelles! Achei seu artigo muito bom... porém discordo de um ponto... não sobre você, mas sobre quem falow "O Sistema Operacional mais seguro é aquele que você mais domina." com certeza para garantir segurança em qualquer sistema é necessario ter o dominio do mesmo.
Mas tem um ponto que vai além do sistema operacional, a principal falha de todos os sistemas é humana "Usuario e/ou Administrador descomprometido com a segurança ou mal treinados", atitudes simples porém desconhecidas por muitos podem deixar qualquer sistema, muito mais seguros. Como treinar seu usuario e dar a ele uma cópia da cartilha de segurança do CERT.br.
Temos hoje um cenário preocupante onde muitos admin "acham-se DEUSES" e esquecem que o protagonista na segurança de sistemas é nosso "REI" ou as vezes "demoniozinho nascido das profundesas do inferno" rsrsrs :)... o USUARIO.
De nada vale voce ter um sistema muito bem configurado sem uma politica de segurança de qualidade satisfatória. E temos que nos lembrar sempre: "A pior politica de segurança é aquela que fica guardada dentro de uma gaveta e NÃO é de conhecimento comum de todos os envolvidos"
Um grande abraço
Penrral
Esta reportagem é muito interessante: http://www.cert.br/docs/reportagens/2005/2005-10-10.html
Caro Dornelles! Achei seu artigo muito bom... porém discordo de um ponto... não sobre você, mas sobre quem falow "O Sistema Operacional mais seguro é aquele que você mais domina." com certeza para garantir segurança em qualquer sistema é necessario ter o dominio do mesmo.
Mas tem um ponto que vai além do sistema operacional, a principal falha de todos os sistemas é humana "Usuario e/ou Administrador descomprometido com a segurança ou mal treinados", atitudes simples porém desconhecidas por muitos podem deixar qualquer sistema, muito mais seguros. Como treinar seu usuario e dar a ele uma cópia da cartilha de segurança do CERT.br.
Temos hoje um cenário preocupante onde muitos admin "acham-se DEUSES" e esquecem que o protagonista na segurança de sistemas é nosso "REI" ou as vezes "demoniozinho nascido das profundesas do inferno" rsrsrs :)... o USUARIO.
De nada vale voce ter um sistema muito bem configurado sem uma politica de segurança de qualidade satisfatória. E temos que nos lembrar sempre: "A pior politica de segurança é aquela que fica guardada dentro de uma gaveta e NÃO é de conhecimento comum de todos os envolvidos"
Um grande abraço
Penrral
Esta reportagem é muito interessante: http://www.cert.br/docs/reportagens/2005/2005-10-10.html
[10] Comentário enviado por linus black em 11/09/2006 - 06:12h
como sou novo no mundo linux eu deixo aqui uma sugestão...
criar um escript,ou um programa pre teste de instalação para verificar e sugerir modificações no sistema a ser instalado .
não sou muito bom ainda mas por ler tanto sobre linux e suas aplicações sei que e pocivel pois quem criou o linux pensava como eu nada e impossível para a vontade humana.
nota 10
como sou novo no mundo linux eu deixo aqui uma sugestão...
criar um escript,ou um programa pre teste de instalação para verificar e sugerir modificações no sistema a ser instalado .
não sou muito bom ainda mas por ler tanto sobre linux e suas aplicações sei que e pocivel pois quem criou o linux pensava como eu nada e impossível para a vontade humana.
nota 10
[11] Comentário enviado por kroz em 10/11/2006 - 15:20h
este artigo nao e so pra quem e "novato" ou aventureiro do linux....
si nao e tambem uma reprise pra quem ja eh xpert!, tem coisas q a gente esquece, ou nao da atencao... ingnoramos, as coisas nao sao bem asim como pensamos... o linux pode chegar a ser o OS mas vulneravel ainda q o Exemplo RuinDows... Galera somos "linuxistas" temos q deixar em alto a fama de melhor em seguranca... so pra lembrar de nossas obrigacoes como linux`user.
* este artigo e dez veio...
este artigo nao e so pra quem e "novato" ou aventureiro do linux....
si nao e tambem uma reprise pra quem ja eh xpert!, tem coisas q a gente esquece, ou nao da atencao... ingnoramos, as coisas nao sao bem asim como pensamos... o linux pode chegar a ser o OS mas vulneravel ainda q o Exemplo RuinDows... Galera somos "linuxistas" temos q deixar em alto a fama de melhor em seguranca... so pra lembrar de nossas obrigacoes como linux`user.
* este artigo e dez veio...
[12] Comentário enviado por math em 07/12/2006 - 12:23h
Parabéns pelo artigo, muito bom, alerta as pessoas que não exite sistema 100% perfeito e invulneravel.
Parabéns pelo artigo, muito bom, alerta as pessoas que não exite sistema 100% perfeito e invulneravel.
[13] Comentário enviado por Gilmar_GNU/Slack em 07/02/2007 - 19:45h
Parabens pelo artigo!
Pois e vero que todo sistema tem sua falha mais como o Windows ele nuam tem claro ao depender de cada usuário do sistema !
Parabens pelo artigo!
Pois e vero que todo sistema tem sua falha mais como o Windows ele nuam tem claro ao depender de cada usuário do sistema !
[14] Comentário enviado por diegoramos em 27/05/2008 - 12:39h
É sempre interessante incentivar o pessoal a desconfiar da sua própria segurança,meus parabens.
Abraço.
É sempre interessante incentivar o pessoal a desconfiar da sua própria segurança,meus parabens.
Abraço.
[15] Comentário enviado por loirojones em 03/03/2012 - 11:13h
Amigo.... esqueceste do essencial...política de segurança também é relacionada a educação dos funcionários da empresa para que não ocorra a chamada Engenharia Social.... outro caso...
mude a porta de acesso do seu ssh que por padrão é a 22
vc pode alterar no diretório vi /etc/ssh/sshd_config
mais uma dica ai reforçando a do colega....
valeu
Amigo.... esqueceste do essencial...política de segurança também é relacionada a educação dos funcionários da empresa para que não ocorra a chamada Engenharia Social.... outro caso...
mude a porta de acesso do seu ssh que por padrão é a 22
vc pode alterar no diretório vi /etc/ssh/sshd_config
mais uma dica ai reforçando a do colega....
valeu
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
É cada coisa que me aparece! - não é só 3% (1)
Alguma pessoa pode me ajudar com drriver Core i3 7020u (Debian 12)? (2)
Mikrotik não mostra bytes nem packtes (1)
Melhores Práticas de Nomenclatura: Pastas, Arquivos e Código [RESOLVID... (4)
Top 10 do mês
-
Xerxes
1° lugar - 65.455 pts -
Fábio Berbert de Paula
2° lugar - 50.010 pts -
Buckminster
3° lugar - 17.306 pts -
Mauricio Ferrari
4° lugar - 15.458 pts -
Alberto Federman Neto.
5° lugar - 13.899 pts -
Diego Mendes Rodrigues
6° lugar - 13.333 pts -
Daniel Lara Souza
7° lugar - 12.558 pts -
edps
8° lugar - 10.812 pts -
Andre (pinduvoz)
9° lugar - 10.686 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 10.454 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
