Melhorando a segurança do seus servidores em FreeBSD

cardosoalcir

Pra quem me conhece ou já leu meus outros artigos, já percebeu que minha vida é o FreeBSD. Sinceramente nunca usei o Linux como sistema de um servidor (apenas como desktop), mas este artigo, apesar de ser voltado para o FreeBSD (hihi), com certeza ajudará a você que usa Linux a melhorar a segurança dos seus servidores.

[ Hits: 42.175 ]

Por: Alcir Cardoso em 21/03/2007 | Blog: http://maboo.us

0 0

Denuncie Favoritos Indicar Impressora

Serviços

Bom, lembram que no inicio do arquivo eu falei que certa vez tive um link de 2Mb lotado apenas com ICMP (ping). Pois é, sei que parece brincadeira mas foi.

Desde então sempre uso umas regrinhas a mais nos meus arquivos /etc/rc.local.

#fechando o icmp na interface externa
/sbin/ipfw add deny icmp from any to any in via bge1 icmptypes 0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18

Com essa regra eu bloqueio todo o icmp que passa na interface externa (bge1) do servidor. Ela também irá bloquear um ping vindo da rede interna para a rede externa.

Outro problema é o ssh. Este serviço com um pouco de planejamento pode ser liberado para apenas alguns hosts dos quais você acessa os teus sistemas.

No exemplo abaixo vou mostra como liberar a conexão ssh vinda de um host e bloqueando toda tentativa fora dessa regra. Adicione estas linhas no /etc/rc.local.

/sbin/ipfw add allow tcp from 200.xxx.xxx.98 to 200.yyy.yyy.38 22
/sbin/ipfw add allow tcp from 200.yyy.yyy.38 to 200.xxx.xxx.98 22

/sbin/ipfw add deny all from any to any 22 in via bge1

No exemplo acima entenda 200.yyy.yyy.38 como o ip da sua casa por exemplo, e 200.xxx.xxx.98 o ip do servidor onde você irá conectar. Na outra linha, bge1 é a interface externa.

Um outro serviço que as vezes instalamos para uso próprio mas que não precisa ficar aberto ao público é o ftp, o exemplo acima pode ser utilizado alterando-o para a porta 21.

Mais uma coisa a seu preocupar, normalmente quando você instala um proxy como o Squid, nunca fecha a 3128 na interface externa. Já pensou nisso? O teu proxy não é público para que outras pessoas fiquem utilizando ele...

Página anterior Próxima página

Páginas do artigo

   1. Definições gerais
   2. Parando o que não usa
   3. Serviços
   4. Spoofing e outros
   5. Brute Force Blocking
   6. Considerações finais

Outros artigos deste autor

Configurando uma VPN no FreeBSD

Firewall e NAT em FreeBSD com controle de banda e redirecionamento de portas e IPs

Leitura recomendada

Técnicas forenses para identificação da invasão e do invasor em sistemas Unix/Linux através do SSH (parte 2)

Matriz <-> Filial com o OpenVPN

SSH - Uma breve abordagem

PSAD: Port Scan Attack Detector

Proxy reverso com ModSecurity no Debian Etch

Comentários

[1] Comentário enviado por removido em 21/03/2007 - 03:42h

Gostei do artigo.
Mas faltou muita coisa referente a segurança no FreeBSD que você pode usar para fazer a versão 2 do artigo. Como:
Segurança do kernel do FreeBSD;
TCPwrappers;
E também outros tipos de ataques.

Parabéns, faz tempo que não vejo um artigo sobre segurança aqui no vivaolinux. Nota 10.

0 0

[2] Comentário enviado por renatomartins em 21/03/2007 - 09:41h

parabens !!!
é sempre bom dar uma ideia para o pessoal
para versao 2 o secure level é ua boa chflags as acl do filesystem e as permiçoes de pastas os modulos no kernel do bsd para bloqueios portaudit e varias outras soluçoes de segurança que o freebsd nos oferece nativamente por ser o unico há implementar o case 100% posix 1e
ta otimo seu artigo
abraço

0 0

[3] Comentário enviado por grayfox em 21/03/2007 - 20:37h

#fechando o icmp na interface externa
/sbin/ipfw add deny icmp from any to any in via bge1 icmptypes 0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18

deveria ser trocado por:
/sbin/ipfw add deny icmp from any to any via bge1

A porta reservada para nfs, é utilizada somente no rc.conf dos freebsds antigos, entao os novos, nao tem a necessidade de colocar a referencia no rc.conf.

0 0

[4] Comentário enviado por fernandoamador em 08/04/2007 - 23:58h

Ótimo artgo...

0 0

[5] Comentário enviado por l0c0 em 24/05/2007 - 08:47h

bom artigo

Mas para Brute Force recomendo usar denyhosts:

# cd /usr/ports/security/denyhosts
# make install clean

# cd /usr/local/share/denyhosts
# cp denyhosts.cfg-dist denyhosts.cfg

--- edite o denyhosts.cfg

# ./daemon-control start

0 0