Melhorias generalizadas de segurança (parte 1)
Firewall nem sempre é a solução de segurança que todos precisam, algumas vezes podemos ter os resultados esperados de forma mais rápida e simples, em outras não sabemos como instalar e configurar um firewall. Esse artigo é para todos que querem seu sistema mais seguro, coloco aqui algumas das regras que utilizo sempre.
[ Hits: 48.976 ]
Por: Rodrigo Ferreira Valentim em 15/07/2004 | Blog: http://www.unitech.pro.br
Introdução
Esse é meu primeiro artigo, por isso sejam sinceros nas críticas e sugestões para que futuramente eu possa enviar artigos melhores.
Como sugere o título, esse artigo não é sobre como deixar seu Linux seguro, mas sim como deixa-lo mais seguro, com regras e configurações simples, das quais acredito que quase todos possam usar sem se preocupar com os resultados. É claro que cada sistema de segurança tem seu foco e por isso deve-se sempre verificar o que está fazendo, por isso verifique se precisa ou não de cada melhoria na segurança que estou propondo que se faça.
Esse artigo serve para todos os usuários de Linux, não importando o quanto se conhece, nem se o utiliza como servidor, desktop, em casa, etc. Tudo que você vai precisar é de tempo e saber como editar um arquivo, não importando qual o editor que você pretende utilizar.
O artigo está bem dividido, sendo assim vá direto ao tópico que achar melhor e não se preocupe em pular algum se achar necessário.
Já utilizei ou utilizo tudo que descrevo nesse artigo em servidores com as seguintes distros:
mas devem funcionar em todas as demais.
Como sugere o título, esse artigo não é sobre como deixar seu Linux seguro, mas sim como deixa-lo mais seguro, com regras e configurações simples, das quais acredito que quase todos possam usar sem se preocupar com os resultados. É claro que cada sistema de segurança tem seu foco e por isso deve-se sempre verificar o que está fazendo, por isso verifique se precisa ou não de cada melhoria na segurança que estou propondo que se faça.
Esse artigo serve para todos os usuários de Linux, não importando o quanto se conhece, nem se o utiliza como servidor, desktop, em casa, etc. Tudo que você vai precisar é de tempo e saber como editar um arquivo, não importando qual o editor que você pretende utilizar.
O artigo está bem dividido, sendo assim vá direto ao tópico que achar melhor e não se preocupe em pular algum se achar necessário.
Já utilizei ou utilizo tudo que descrevo nesse artigo em servidores com as seguintes distros:
- Red Hat;
- Mandrake;
- e Conectiva.
mas devem funcionar em todas as demais.
Páginas do artigo
1. Introdução2. Preparando-se
3. Mudando senhas
4. Timeout no login
5. Exigindo senha ao iniciar pelo Linux Single
6. Desabilitando o Ctrl+Alt+Del
7. Removendo contas especiais
8. Protegendo arquivos importantes
9. Conclusão
Outros artigos deste autor
Melhorias generalizadas de segurança (parte 2)
Atualizando o Red Hat com o up2date
Dificuldades com o Debian Etch/Test
Leitura recomendada
Fundamentos da criptografia assimétrica
Elevação de privilégios locais
O espaço e a segurança cibernética
Comentários
[1] Comentário enviado por alphainfo em 15/07/2004 - 11:50h
Ei Rodrigo, legal o teu artigo. Achei interessante setar a variável TMOUT para definir um tempo máximo de ociosidade no terminal.
Sobre a desabilitação do CTRL+ALT+DEL, poderia também fazer algo como:
ca::ctrlaltdel:/bin/echo "Naum desliga meu cpu!!"
hehehe, valew mesmo!
Daniel Freire
Ei Rodrigo, legal o teu artigo. Achei interessante setar a variável TMOUT para definir um tempo máximo de ociosidade no terminal.
Sobre a desabilitação do CTRL+ALT+DEL, poderia também fazer algo como:
ca::ctrlaltdel:/bin/echo "Naum desliga meu cpu!!"
hehehe, valew mesmo!
Daniel Freire
[2] Comentário enviado por gustavo_marcon em 15/07/2004 - 17:09h
Bastante interessante teu artigo, tem muita coisa legal. Fico esperando a parte 2 :)
Bastante interessante teu artigo, tem muita coisa legal. Fico esperando a parte 2 :)
[3] Comentário enviado por y2h4ck em 15/07/2004 - 17:34h
Ficou legal o artigo, muitos aspirantes administradores ficam entupindo o sistema com IDSs, e sistema de integridade e nao dao valor ao basico.
valew.
Ficou legal o artigo, muitos aspirantes administradores ficam entupindo o sistema com IDSs, e sistema de integridade e nao dao valor ao basico.
valew.
[4] Comentário enviado por bispo em 15/07/2004 - 18:18h
"Já estou com a parte 2 pronta, era para ser somente um artigo, mas acredito que se ficasse maior esse artigo, poucos se interessariam."
Achei seu comentário um pouco desanimado, o artigo está muito consistente e ajudou muito, principalmente porque existe muito material de segurança para servidores, Apache, etc... mas para usuários comuns (desktops) são poucos. Espero o próximo.
Bispo
"Já estou com a parte 2 pronta, era para ser somente um artigo, mas acredito que se ficasse maior esse artigo, poucos se interessariam."
Achei seu comentário um pouco desanimado, o artigo está muito consistente e ajudou muito, principalmente porque existe muito material de segurança para servidores, Apache, etc... mas para usuários comuns (desktops) são poucos. Espero o próximo.
Bispo
[5] Comentário enviado por wiltomar em 15/07/2004 - 20:00h
Se a parte 2 do seu artigo for tão boa com a parte 1, cara vc continuará de parabéns, pois esse artigo é show.
Se a parte 2 do seu artigo for tão boa com a parte 1, cara vc continuará de parabéns, pois esse artigo é show.
[6] Comentário enviado por zehrique em 15/07/2004 - 21:49h
Pessoal,
Estou de acordo com todos vocês. Muito bom este artigo. E concordo também com o que o "Bispo" disse, há na rede muitos artigos sobre segurança profissional mas pouco se escreve para o usuário comum. Ainda mais agora que o Linux está sendo difundido cada vez mais, devido aos enormes buracos no "outro" SO.
Pessoal,
Estou de acordo com todos vocês. Muito bom este artigo. E concordo também com o que o "Bispo" disse, há na rede muitos artigos sobre segurança profissional mas pouco se escreve para o usuário comum. Ainda mais agora que o Linux está sendo difundido cada vez mais, devido aos enormes buracos no "outro" SO.
[7] Comentário enviado por jllucca em 15/07/2004 - 23:56h
Aew
O artigo tá excelente achei ele ótimo abordando alguns pontos bem interressantes. So gostaria de saber uma coisa, a remoção das contas especiais não pode gerar problemas para o usuario comum? Como "usuario" ele pode vim a remover uma conta que pode vim a ser necessaria. Ex. : Um usuario fulano não tem impressora e removi o grupo lp. Após um tempo o "fulano", compra uma impressora e resolve instala-la. Como o sistema vai reagir quando for tentado instalar uma impressora? Vai recriar o grupo automaticamente? Ou ele precisara recria-lo na mão?
[]'s
Aew
O artigo tá excelente achei ele ótimo abordando alguns pontos bem interressantes. So gostaria de saber uma coisa, a remoção das contas especiais não pode gerar problemas para o usuario comum? Como "usuario" ele pode vim a remover uma conta que pode vim a ser necessaria. Ex. : Um usuario fulano não tem impressora e removi o grupo lp. Após um tempo o "fulano", compra uma impressora e resolve instala-la. Como o sistema vai reagir quando for tentado instalar uma impressora? Vai recriar o grupo automaticamente? Ou ele precisara recria-lo na mão?
[]'s
[8] Comentário enviado por engos em 16/07/2004 - 08:01h
Obrigado a todos pelos comentários, agora que tenho uma idéia melhor se precisava ou não mudar como descrevo nos artigos vou mandar a parte 2 para ser avaliada e em breve ela deve estar sendo postada.
Bispo, você está certo sobre seu comentário, não havia percebido na hora, valeu pela cooperação!
Jllucca, quando você remove essas contas especiais e precisa delas futuramente em alguns casos elas são criadas automaticamente e em outros não, vai depender de como é feita a instalação (melhor dizendo, o arquivo de shell script, pois se for um pacote de RPM não instala). Sendo assim fica a critério de cada um remover todos aqueles grupos ou não, mas quando se trata de segurança a regra é simples: "Remova o que não usa e se precisar, quando precisar, instale ou adicione". Só para completar, tenho 2 impressoras em casa, uma matricial, outra jato de tinta e não tenho o grupo lp.
Valeu pelo comentário pessoal!
[]s
Obrigado a todos pelos comentários, agora que tenho uma idéia melhor se precisava ou não mudar como descrevo nos artigos vou mandar a parte 2 para ser avaliada e em breve ela deve estar sendo postada.
Bispo, você está certo sobre seu comentário, não havia percebido na hora, valeu pela cooperação!
Jllucca, quando você remove essas contas especiais e precisa delas futuramente em alguns casos elas são criadas automaticamente e em outros não, vai depender de como é feita a instalação (melhor dizendo, o arquivo de shell script, pois se for um pacote de RPM não instala). Sendo assim fica a critério de cada um remover todos aqueles grupos ou não, mas quando se trata de segurança a regra é simples: "Remova o que não usa e se precisar, quando precisar, instale ou adicione". Só para completar, tenho 2 impressoras em casa, uma matricial, outra jato de tinta e não tenho o grupo lp.
Valeu pelo comentário pessoal!
[]s
[9] Comentário enviado por fr33m4n em 20/07/2004 - 00:47h
Achei muito fraco o artigo.
Melhoras no proximo.
fr33m4n
Achei muito fraco o artigo.
Melhoras no proximo.
fr33m4n
[10] Comentário enviado por naoexistemais em 07/08/2004 - 22:52h
Caro fr33m4n,
Esses tipos de comentários só gera flames, então nos próximos comentários, relate os pontos que você achou "errado" no artigo e não dizer que achou o artigo fraco.
Obs.: Essas atitudes só me deixa cada dia assutado.
Caro fr33m4n,
Esses tipos de comentários só gera flames, então nos próximos comentários, relate os pontos que você achou "errado" no artigo e não dizer que achou o artigo fraco.
Obs.: Essas atitudes só me deixa cada dia assutado.
[11] Comentário enviado por vargas em 07/08/2004 - 23:52h
Ai cara, ótimo artigo!
Eu estou começando agora no mundo linux entendi legal teu artigo e vo le o segundo agora, porém acredito que se você especificasse determinadas partes como:
#!/bin/bash
# /root/bin/protege
set -v
chattr $1 /etc/passwd /etc/group /etc/shadow /etc/gshadow /etc/services
pra que serve isso, mas é que eu sou um pouco ignorante então ta blz!
Ai cara, ótimo artigo!
Eu estou começando agora no mundo linux entendi legal teu artigo e vo le o segundo agora, porém acredito que se você especificasse determinadas partes como:
#!/bin/bash
# /root/bin/protege
set -v
chattr $1 /etc/passwd /etc/group /etc/shadow /etc/gshadow /etc/services
pra que serve isso, mas é que eu sou um pouco ignorante então ta blz!
[12] Comentário enviado por engos em 09/08/2004 - 15:13h
Valeu pelo apoio fr33m4n, críticas metendo o pau não tem problema, mas é difícil quando não se sabe o que está fraco...
:)
Vargas,
Isso é para que ao invés de ficar toda hora dando esse comando para adicionar e remover um usuário do sistema, você rode o script com a opção +i (protege) ou -i (desprotege), da seguinte forma:
#protege +i
ou
#protege -i
Se esses arquivos estiverem protegidos, nem o root consegue modifica-los, por isso você tem que desproteger e proteger sempre for adicionar/remover um usuário.
Você pode fazer um teste e proteger um arquivo qualquer e tentar modica-lo ou deleta-lo, sendo root ou não e vai entender na prática.
Valeu pelo apoio fr33m4n, críticas metendo o pau não tem problema, mas é difícil quando não se sabe o que está fraco...
:)
Vargas,
Isso é para que ao invés de ficar toda hora dando esse comando para adicionar e remover um usuário do sistema, você rode o script com a opção +i (protege) ou -i (desprotege), da seguinte forma:
#protege +i
ou
#protege -i
Se esses arquivos estiverem protegidos, nem o root consegue modifica-los, por isso você tem que desproteger e proteger sempre for adicionar/remover um usuário.
Você pode fazer um teste e proteger um arquivo qualquer e tentar modica-lo ou deleta-lo, sendo root ou não e vai entender na prática.
[13] Comentário enviado por removido em 15/02/2006 - 13:39h
Eu apenas não entendi a razão de excluir os usuários que do sistema.
Pelo que entendo, já que os mesmos não tem senha, não conseguem efetuar login no sistema.
Abs
Eu apenas não entendi a razão de excluir os usuários que do sistema.
Pelo que entendo, já que os mesmos não tem senha, não conseguem efetuar login no sistema.
Abs
[14] Comentário enviado por marcoaw em 07/02/2012 - 10:51h
Muito Bom !!! Valeu mesmo!!! , vou implementar já !!
Muito Bom !!! Valeu mesmo!!! , vou implementar já !!
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
Acabei de formatar meu ssd e deu erro (3)
Desempenho abaixo do esperado - travadas e congelamento do sistema ope... (5)
Bash ao invés de Fish no CachyOS (1)
Top 10 do mês
-
Xerxes
1° lugar - 63.866 pts -
Fábio Berbert de Paula
2° lugar - 49.117 pts -
Buckminster
3° lugar - 17.738 pts -
Mauricio Ferrari
4° lugar - 14.987 pts -
Alberto Federman Neto.
5° lugar - 13.181 pts -
Diego Mendes Rodrigues
6° lugar - 12.969 pts -
Daniel Lara Souza
7° lugar - 12.196 pts -
Andre (pinduvoz)
8° lugar - 10.214 pts -
edps
9° lugar - 10.075 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 9.916 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
