Este artigo fala sobre segurança no Linux para os iniciantes nesse sistema operacional, apontando alguns procedimentos básicos para obter informações sobre o uso e acesso do sistema por outros usuários.
No Linux, para encontrar um rastro de uma invasão, chegando assim ao invasor, é necessário usar o bom senso, pensando como o invasor.
O que você faria se estivesse com um sistema operacional alheio na mãos? Óbvio, você faria de tudo para não perder o acesso ao sistema, instalando algum tipo de backdoor (descreverei sobre) - ou até mesmo adicionaria um usuário no sistema com privilégios de root. Achar uma backdoor no sistema não é um bicho-de-sete-cabeças.
Mas mesmo sabendo disso, é essencial que você conheça seu sistema, saiba se ele tem dados de datas de execuções de arquivos, quais são as portas abertas, etc.
Para ver todas as portas abertas no sistema, digite o comando abaixo:
# lsof -i
Serão listadas todas as portas que estão sendo usadas. Veja se encontra alguma porta estranha.
Procurar por rastros no /etc/passwd é obrigatório. Adicionar usuários no /etc/passwd é bem a cara de muitos invasores. Portanto, não perca tempo. Tenha em mente todos os usuários cadastrados no sistema e entre com o comando abaixo:
# grep ":0:0:" /etc/passwd
Serão listados os usuários com permissão total no sistema. Para obter mais detalhes é interessante abrir este arquivo (passwd) e dar uma bela olhada. Veja se todos os usuários conferem. Se encontrar algo de estranho, examine.
Como examinar? Use arquivos de log do sistema - o primeiro arquivo de log a ser verificado é o bash_history, que conterá os 1000 últimos comandos digitados por algum usuário. Por exemplo, no caso de um usuário root, o arquivo bash_history se encontrará na pasta /root. Editando-o com o seu editor de textos preferido, você terá uma pequena noção do que foi feito em seu sistema e, assim, tentará corrigir. Se mesmo assim o log bash_history não trouxer informação alguma, utilize o comando:
# ps -aef | grep root
O comando acima procurará por processos executados pelo usuário root, que no caso poderão ser modificados por qualquer outro usuário. Basta verificar se entre a lista não há algum script suspeito sendo executado. Com certeza, este passo lhe trará algumas informações.
Para melhor segurança do seu Linux é bom sempre ter um firewall ou até mesmo um scanner de segurança.
Este artigo foi meu primeiro postado no site, por isso o fiz voltado para os usuários que estão começando no Linux, para que possam entender alguns princípios de segurança em sistemas Linux.
Minha próxima postagem será sobre como recuperar arquivos excluídos - útil para os casos em que alguém deleta seus arquivos durante uma invasão -, e escreverei assuntos sempre voltados para segurança de sistemas Linux.
[2] Comentário enviado por kurumahackid em 01/02/2006 - 00:49h
heheh loko cara
d+
ehehheh
tb jah to fazenu um artigu aki sobre a mais nova versaum do nmap pq o artigu q tem aki eh 1/2 q antigu.Tipow num manju muito d linux assim naum e nem tampouco d nmap mas ajuda a comunidade é sempre bom neh galera?
falows mas axu q o artigu vai 1/2 q demora d sai tenho q estudar pro vestibular seriadu... primeru anu eh phoda!
heheh falow brow!
[5] Comentário enviado por agk em 01/02/2006 - 08:24h
Está bom por ser o seu primeiro artigo, parabéns. No próximos quem sabe você amplie um pouco o conteúdo, traga alguns exemplos práticos pra mostrar pro pessoal, por exemplo: log's de um sistema comprometido.
Para fechar portas abertas do sistema você tem que encerar os processos que as abrem.
O comando netstat pode ser bastante útil no que tange esse aspecto.
Tente dar um:
netstat -ln
Isso lhe mostrará as portas abertas do sistema, já o comando lsof -i mostra apenas as portas que estão sendo usadas naquele momento.
Para uma informação mais precisa faça assim:
netstat -lnap
Isso lhe mostrará informações das portas abertas e quais os processos que estão abrindo essas portas.
Para obter um resultado mais completo rode os comando acima com usuário root.
Bem, espero ter dado meu byte de contribuição, segurança sempre é um assunto polêmico, afinal segurança nunca é demais.
[6] Comentário enviado por yunis em 01/02/2006 - 08:31h
Fantini gostei muito do artigo, parabéns, só tenho uma dúvida uso o conectiva 7 e não consegui executar o comando lsof -i, se puder me ajudar, fico muito grato.
[10] Comentário enviado por shocker em 03/02/2006 - 13:50h
Infelizmente as pessoas não sabem reconhecer a intenção nas coisas. Pela sua intenção você está de parabéns, porém por se tratar do primeiro artigo é óbvio que pode ser melhor. Mais não esquenta com isso, afinal todos estamos aqui para aprender!
Não desista, e poste novos artigos, você verá que com o tempo sua aptidão irá melhorar mais e mais!
[13] Comentário enviado por Filipelinux em 09/02/2006 - 10:42h
Cara, muito boa inciativa esta de escrever para iniciantes a respeito de segurança em Linux. Só uma coisa, poderia ser colocado um artigo, já que o alvo são os iniciantes, mais detalhado e com mais informações, já que nem todos que começam com segurança tem uma bagagem Linux. Muitos são usuários de outro SO que estão migrando para o pinguim. Na hora de criar um artigo para leigos escreva com mais detalhes. Para os intermediários e avançados pode ser chato, mas para os iniciantes é fundamental. Neste artigo por exemplo poderia ter 2 ou 3 partes, sendo explicado cada um destes comandos com mais detalhes e até mesmo como conseguir outras informações. Por exemplo, no comando "lsof -i" explicar a função do "-i", para assim ajudar muito mais os novatos. Outra coisa interessante é um link de como utilizar o vi ou então o nano como editor de texto, para que o iniciante vá buscar como utilizar tal ferramenta sem dificuldades. Para iniciantes naõ deve ser dado nada mastigado, mas sim as ferramentas para que este encontre todas as informações necessárias, neste caso os "links".
Para mim que já tenho conhecimento de Linux foi excelente este tutorial, parabéns e continue por este caminho que é muito bom cara.
[14] Comentário enviado por jstequino em 09/02/2006 - 11:10h
Você esta de parabéns...
Muito bom mesmo, só tenho uma observação, espero que no próximo artigo vc descreva mais detalhadamente sobre o assunto que é de vital importância para a comunidade e principalmente para os leigos.
[18] Comentário enviado por pollontechnology em 29/01/2007 - 12:14h
olá amigo...excelente artigo !!!
Gostaria de ressaltar aos nossos amigos a importancia se saber como combater essas atividades criminosas !!! abordar e procurar tecnicas como o rastreamento e idêntificação de invasores e assim por diante !! porém, tudo vai do interesse de cada novo iniciante....pesquisar é a alma do negócio !!!!!
[19] Comentário enviado por jrs44 em 01/01/2009 - 15:41h
Embora distante no tempo, no espirito do comentario de shocker, gostaria de
agradecer ao fantini por iniciar o topico e ao agk por ampliar, pois para mim
que estou iniciando foram muito uteis. Aproveito para deixar um link relacionado. http://www.debian.org/doc/manuals/securing-debian-howto/