Construindo um Firewall / Proxy com o Fedora Core 4

O objetivo deste documento é mostrar a instalação e configuração de um servidor que será firewall e proxy. O sistema utilizado será o Fedora Core 4. Como o propósito é a segurança, todas as configurações necessárias para tornar este servidor o mais seguro possível serão realizadas.

[ Hits: 83.136 ]

Por: Sandro Venezuela em 10/02/2006


Instalação do Fedora Core 4



Como este servidor será um firewall/proxy, não necessitamos de interface gráfica e, também, nenhuma aplicação X. Nenhum serviço além do necessário deve ser instalado, como por exemplo, telnet, sendmail, etc. Lembre-se sempre que cada serviço habilitado desnecessariamente é um caminho para a intrusão do seu sistema. Assim, iremos realizar a instalação mínima do Fedora.

Outro questão importante é sobre o particionamento do disco, onde utilizaremos a seguinte configuração:
Partição     Ponto de Montagem     Tamanho (MB)
/dev/hda1    /boot                 95
/dev/hda2    /usr                  4400
/dev/hda3    /var/log              4400
/dev/hda5    /                     1500
/dev/hda6    /home                 1000
/dev/hda7    /tmp                  256
/dev/hda8    swap                  256

O objetivo da criação destas partições é começar a aplicar segurança a partir do sistema de arquivos, como por exemplo, se o disco for dividido em somente três partições: /boot, / e swap, um invasor que consiga acesso, mesmo sem ser root, pode "derrubar" o seu servidor simplesmente copiando arquivos para o diretório /tmp, onde como todos sabemos tem permissão de escrita para qualquer um, até que o mesmo fique completamente utilizado, fazendo com que o sistema fique sem espaço disponível para nenhuma outra atividade importante.

Outra questão importante é sobre o tamanho da área de swap, onde nem sempre o cálculo de multiplicar duas vezes o tamanho da memória RAM é o mais correto, por isto é sempre recomendado um estudo antecipado, de acordo com os serviços que estarão disponíveis. Lembrando ainda que um sistema com freqüente utilização da área de swap, é evidente que temos um problema de falta de memória RAM o que proporciona problemas de performance.

Após estas observações, podemos continuar com o processo de instalação do Fedora, onde o próximo passo seria a colocação de uma senha no gerenciador de boot GRUB. Mais uma vez, vale lembrar que é recomendado o uso de senhas entre 10 e 12 caracteres, onde podemos forçar este tamanho, alterando o campo PASS_MIN_LEN do arquivo /etc/login.defs e misturando todos os tipos de caracteres permitidos. A mesma recomendação deve ser utilizada na definição da senha do administrador: root.

A configuração da senha do GRUB pode ser realizada tanto no momento da instalação, onde eu recomendo, ou após o término. Para adicionar a senha depois que o sistema já estiver instalado, temos os seguintes passos:

# grub-md5-crypt

Após digitar a senha, a mesma será impressa na tela, só que criptografada, de acordo com o exemplo abaixo:

$L1g#NMd345P.

O último passo consiste em copiar a senha e adicionar a seguinte linha no arquivo /boot/grub/grub.conf:

password --md5 $L1g#NMd345P.

Pronto! Para testar basta reiniciar o servidor e tentar acessar como mono-usuário.

    Próxima página

Páginas do artigo
   1. Instalação do Fedora Core 4
   2. Procedimento de Segurança Pós-Instalação
   3. Configuração do Firewall
   4. Configuração do Proxy
   5. Outras configurações
   6. Considerações Finais
Outros artigos deste autor

Instalando a placa de rede wireless DWL-G520+ no Fedora Core 3

Instalando o QEMU no Fedora Core 4

Configurando uma VPN IPSec Openswan no SUSE Linux 9.3

Integrando o Amavisd-new, SpamAssassin e ClamAV com o Postfix no SuSE 9.3

Leitura recomendada

Endian Firewall - Solução completa para um servidor de internet

Criando firewalls dinâmicos com Iptables Recent

IPTables - Desvendando o mistério

Iptables detalhado

Zentyal 2.0 - Solução completa de segurança open source

  
Comentários
[1] Comentário enviado por removido em 13/02/2006 - 01:24h

interessante sua dica de segurança de "pós instalação", gostei do artigo.
e como tu escreveveu que sugestões são bem vindas, creio que poderias ter entrado pelo menos um pouco no "famoso" squid.

[2] Comentário enviado por agk em 14/02/2006 - 09:55h

Muito bom, bastante abrangente, o script de firewall está bem completo, parabéns.

[3] Comentário enviado por james_avelar em 02/08/2006 - 20:05h

PÓS INSTALAÇÂO FC4

Brother fiz tudo ai certinho!!
Mas depois de reiniciar o FC4 não consegue montar:
LABEL=/home
LABEL=/tmp
LABEL=/var

Ai tem de entrar e reparar o sistema de arquivos, ai não sei como fazer, pois tentei re-editar o /etc/fstab e não consigo!!
Espero uma luz ai pq preciso usar o FC4 ainda amanhã!!
t+++

[4] Comentário enviado por leloguitar em 29/08/2006 - 11:01h

ETH0="192.168.0.0/24"
NET="0/0"

essa variavel eth0 se refere a rede, entao se minha rede for a eth1 no caso seria

ETH1="192.168.0.0/24"
NET="0/0"

???

serve pra squid autenticado tb???
proxy_auth ???

[5] Comentário enviado por rdebraga em 13/08/2007 - 18:48h

no caso de eu usar duas placas de rede uma com Ip válido e outra com ip invalido como fica a configuração ?

att

[6] Comentário enviado por kikoxela em 20/01/2009 - 10:46h

Nosssa esse tutorial é demais estava com umas duvida e estou entendendo melhor como rola cada coisa legal parabens pelo tutorial .
realmente bom .
como voce mesmo disse da para deixar mais seguro vou procura saber ai vou postar.
blz .


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts