Mantendo a segurança no Linux

Neste tutorial apresento técnicas cuja finalidade é manter a segurança de sua distribuição GNU/Linux.

[ Hits: 13.792 ]

Por: Pythonux em 03/09/2016


Introdução



Seja desktop ou servidor, a segurança de um sistema operacional é indispensável ao usuário. Ataques de invasores, além de comprometer os dados da distribuição, podem danificar o bom funcionamento do sistema e sua estabilidade.

Em informática, um programa de computador não está isento de falhas, bugs e problemas de segurança. Portanto, é inerente ao utilizador do computador optar por um sistema que tenha uma excelente segurança, como o OpenBSD e o GNU/Linux.

Por ser open source, o desenvolvimento contínuo de ambos faz com que, ao ser detectada uma certa vulnerabilidade, os desenvolvedores ao redor de todo o mundo (e quem sabe de outro planeta, por que não?), já tragam a solução em questão de horas. Coisa que não acontece no Windows.

No entanto, conforme tinha dito, o seu GNU/Linux, OpenBSD ou qualquer outro sistema bem seguro, não está isento de problemas relacionados à segurança. Acredite ou não, o seu sistema operacional pode ser tão inseguro e instável quanto o Windows. Como já dizia um velho ditado, o maior problema de um computador não está dentro da máquina, mas sim em quem o opera.

Um sistema operacional é como uma porta, se o usuário a deixa aberta, infelicidades virão. Se a deixa fechada, evita bastante a entrada de infelicidades. Porém, ainda existem e podem entrar.

Neste artigo, apresentarei técnicas que podem transformar seu sistema em uma verdadeira blindagem. Espero que apreciem e boa leitura! Recomendada a usuários do nível básico ao avançado.

1ª técnica: atualizar o sistema regularmente

Seu computador está conectado em uma péssima internet? Sua distribuição dificilmente lista pacotes a serem atualizados? Boas desculpas, mas isso não o deixa isento de atualizar o sistema operacional regularmente. Eu mesmo atualizo minha belezinha semanalmente.

Vamos, hipoteticamente, supor que tenho instalado na máquina um pacote chamado de kmod-usb6. Ele está em sua versão 1.0.3. Mas, foi descoberta uma vulnerabilidade que é capaz de dar poderes de super usuário a qualquer um! Se seu sistema é descente, ele certamente disponibilizará em pouco período de tempo a versão que corrige o transtorno, a 1.0.4.

2ª técnica: RARAMENTE logar como root

O uso indevido do root pode abrir brechas no seu servidor ou desktop. Use-o cuidadosamente. Num desktop, por exemplo, o uso dele para acessar a internet é pedir destruição da distribuição. Se precisar gerenciar pacotes, aconselho o uso do sudo.

Se sua distribuição for pequena, como um Debian, ArchLinux ou Slackware, ele não vem instalado por padrão. Já se for Ubuntu, LMDE, Linux Mint, Manjaro ou openSUSE, ele já vem por default. Procure no VOL artigos sobre o sudo.

3ª técnica: senha de root complicada

Sua senha de root é 123? Saiba que posso quebrá-la em segundos. Uma senha difícil, que contém letras (minúsculas e maiúsculas), números e caracteres especiais (_, %, $, @, #, etc) é a chave para uma boa senha.

Olha uma senha que já criei apenas seguido as regras: Os7Poloneses

Claro, ela é bem fácil de lembrar. Logo, é bem pequena. Uma senha maior é mais interessante.

Teste se sua senha é segura neste site:
De acordo com este site, a senha que fiz anteriormente demoraria 26.516.294 anos para ser quebrada.

4ª técnica: instale somente programas do repositório OFICIAL

Os programas do repositório oficial do BSD e da sua distribuição GNU/Linux são programas confiáveis, a menos que confie muito no programa de fonte externa. Para um programa entrar no repositório, ele passa por testes pesados para garantir sua confiabilidade, qualidade e estabilidade.

Se precisar do Emacs, editor de texto do GNU, não entre no site do projeto e baixe-o, pode ser que seja um site clone que possibilita o download de clones com malware! Instale-o a partir dos repositórios da sua distribuição.

Mas, e se ele não estiver na lista? Procure por aplicativos que prometem fazer as mesmas coisas e verifique se eles atendem às suas necessidades. Se não, pode arriscar em fontes externas, mas tenha MUITA CONFIANÇA e saiba o que está fazendo.

Outra coisa, como muitos novatos devem estar lendo este artigo e muitos deles usam Ubuntu e derivados, PPAs são repositórios não oficiais. A mesma coisa que instalar um programa a partir do site do projeto. Usem com cautela!

5ª técnica: use um firewall e um antivírus

Um firewall bem configurado e um antivírus para escanear pastas e arquivos (serve principalmente para quem fica usando pendrive constantemente em máquinas Windows), são indispensáveis. Muitas distribuições já vêm com um firewall configurado, como o Linux Mint, que vem com o Gufw. Qualquer firewall serve, desde que esteja bem configurado.

O antivírus que recomendo é o Clamav, ele já está nos repositórios das principais distribuições do mercado, além de ser software livre e multiplataforma.

6ª técnica: navegue em sites confiáveis

Para saber se um site é confiável ou não, use esta ferramenta do Google:

7ª técnica: desabilite o SSH (APENAS PARA DESKTOPS)

O SSH abre portas desnecessárias em desktops. Essas portas são essenciais em servidores, mas em estações de trabalho, são um "lixo".

As distribuições atuais geralmente vêm com o systemd instalado. Use o seguinte comando para desabilitar o SSH:

# systemctl disable ssh.service


Espero que gostem das técnicas!

Espero que usuários de longa data possam colaborar com o artigo, enviando nos comentários outras técnicas.

   

Páginas do artigo
   1. Introdução
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Servidor de autenticação 802.1x com Freeradius

Jails em SSH: Montando sistema de Shell Seguro

Nessus Portscanner

NTop - Configurações gerais

Entenda o que é Hardening

  
Comentários
[1] Comentário enviado por ede_linux em 03/09/2016 - 16:07h

Parabéns pelo artigo,

Já instalei o clamav e clamtk, directamente do apt-get, julgo que isso signifique "directamente dos repositórios", certo?

Gostava de utilizar o clamav via linha de comandos, mas ainda não descobri como!
Entretanto, como instalei o clamtk, já procedi à actualização da lista de vírus, cerca de 21 mil, tão pouco? Estava à espera de 1 milhão :P E estou a proceder a scan a todos os directório, incluindo ocultos e de maneira recursiva! Bem, lá para amanhã isto termina!

Na sétima dica, desabilitar o ssh. Devo fazer isso se precisar de aceder via ssh a outras máquinas?
Tenho um pc que apenas acede a outros. Talvez fizesse sentido desabilitar a entrada de outros users via ssh, certo?

Por curiosidade, é possível aceder a um log de users que logam na minha máquina via ssh?

[UPDATE]
O meus passos forma:
sudo apt-get install clamav
sudo apt-get install clamdscan - segundo o manual é scan de linha de comandos (anti-virus utility for Unix - scanner client)
sudo freshclam -> obtive este erro:
[code]
ERROR: /var/log/clamav/freshclam.log is locked by another process
ERROR: Problem with internal logger (UpdateLogFile = /var/log/clamav/freshclam.log).
[/code]
Não sei qual processo é que ele se refere!
sudo apt-get install clamtk -> que não vem no manual mas encontrei-o no sudo apt-cache search clamav -> graphical front-end for ClamAV

Mais info em:
http://askubuntu.com/questions/250290/how-do-i-scan-for-viruses-with-clamav



[2] Comentário enviado por bielinux em 03/09/2016 - 19:29h

Primeiramente, muito obrigado pelo parabéns. Escrevi este artigo com muito carinho, meu principal interesse é que ele contribua bastante e seja bem compartilhado no fórum. Muita gente acha que só por estar utilizando uma distribuição Linux está isento de programas maliciosos.

Bom, se precisa do SSH, apenas não siga a 7ª dica. Respondendo à sua dúvida sobre se é possível acender a um log de users que logam na sua máquina via SSH, não sei informar, até porque não mexo com o Secure Shell. Talvez sim.

Este vídeo aqui ensina sobre como manusear e instalar o ClamAV: https://www.youtube.com/watch?v=2lk1gfJO78s.

[3] Comentário enviado por homemsemnome em 03/09/2016 - 20:33h

@bielinux Parabéns pelo tópico colega. Só uma dúvida: é ou não seguro utilizar o sudo em distribuições que não tenham vindo com ele por padrão? Eu já indaguei sobre isso aqui no VOL e me disseram que não é seguro utilizá-lo; contudo, eu nunca vi isso ser dito em nenhum artigo sobre segurança digital. Por favor, veja as minhas indagações no tópico abaixo e as respostas que eu recebi:

https://www.vivaolinux.com.br/topico/Iniciantes-no-Linux/E-necessario-ter-uma-senha-de-usuario-admin...


[4] Comentário enviado por bielinux em 03/09/2016 - 21:49h

Bom, homemsemnome, se é seguro ou não, depende. Já existem discussões a respeito há muito tempo (veja esta indagação de 2008: https://ubuntuforums.org/showthread.php?t=921017). Eu mesmo utilizo o sudo e não vejo problemas em utilizá-lo.

Se eu alternar meu usuário para root, por intermédio do comando "su", a minha sessão muda. Logo, fico sujeito a, acidentalmente, jogar comandos danosos. Com o sudo, tenho certificação de que nada disso acontecerá. Fazendo analogias, o "sudo" dá ordens ao diretor de uma escola, e o "su" me transforma no diretor da escola.

[5] Comentário enviado por homemsemnome em 03/09/2016 - 22:11h

[4] Comentário enviado por bielinux em 03/09/2016 - 21:49h


Concordo que o sudo irá ajudar a evitar que usuários novatos façam m**** no sistema e também trará uma maior praticidade, mas como é necessário sacrificar um pouco da praticidade do dia a dia para se ter uma maior segurança digital, eu julgo mais prudente utilizar o su mesmo -- com a ressalva de que você poderá fazer m**** no sistema se não tomar cuidado.

Enfim, cabe ao usuário que está lendo esse meu comentário agora analisar o que é melhor para ele. =P

Abraço.

[6] Comentário enviado por Merovingio em 03/09/2016 - 23:38h

Boa noite cara! É muito bom saber que mais pessoas de Recife estejam presentes aqui no VOL, bom artigo apesar que no meu ver seja mais como uma dica, quando o assunto é segurança não tem pra onde isso é rede, pois se algum ataque for feito só pode chega ao seu destino através dela nada que algumas regras no iptables para ajudar, claro que isso não vai eliminar os problemas mais ajuda, enquanto o sudo, isso na verdade de ser seguro ou não vai muito do usuário o sudo da privilégios ao usuário comum para realizar algumas tarefas, particularmente não faço uso do mesmo na verdade nunca fiz. Mais é de boas praticas seu artigo, valeu e continue fazendo mais a comunidade precisa. Apesar que aqui tem uns dinos sumidos.

[7] Comentário enviado por removido em 05/09/2016 - 22:40h

Eu não uso AV no Linux. Nunca usei.
Demais dicas já pratico todas exceto desativar SSH
Obrigado

[8] Comentário enviado por TKGS73 em 14/09/2016 - 14:18h

Parabéns, ótimas dicas!

[9] Comentário enviado por Dweller em 20/09/2016 - 18:46h

Muito bom o artigo, gostei. Gostaria de saber uma coisinha :

Estou usando Mint com o KDE, uma versão nova, é a 18-KDE-Sarah. Como ela é "nova", outras medidas devem ser tomadas para uma boa segurança? Sou um usuário Linux a pouco tempo e com muitas dúvidas bestas, haha.


[10] Comentário enviado por VitorMazuco em 21/09/2016 - 11:08h

muito boa as dicas, parabéns.

[11] Comentário enviado por Inkilino em 12/03/2017 - 01:07h

Muito legal, estou começando agora no mundo Linux e sei que ainda vou rele-lo mais algumas vezes, obrigado


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts