Segurança para iniciantes
Este artigo fala sobre segurança no Linux para os iniciantes nesse sistema operacional, apontando alguns procedimentos básicos para obter informações sobre o uso e acesso do sistema por outros usuários.
[ Hits: 28.668 ]
Por: Anderson Fantini em 31/01/2006
Segurança para iniciantes
No Linux, para encontrar um rastro de uma invasão, chegando assim ao invasor, é necessário usar o bom senso, pensando como o invasor.
O que você faria se estivesse com um sistema operacional alheio na mãos? Óbvio, você faria de tudo para não perder o acesso ao sistema, instalando algum tipo de backdoor (descreverei sobre) - ou até mesmo adicionaria um usuário no sistema com privilégios de root. Achar uma backdoor no sistema não é um bicho-de-sete-cabeças.
Mas mesmo sabendo disso, é essencial que você conheça seu sistema, saiba se ele tem dados de datas de execuções de arquivos, quais são as portas abertas, etc.
Para ver todas as portas abertas no sistema, digite o comando abaixo:
# lsof -i
Serão listadas todas as portas que estão sendo usadas. Veja se encontra alguma porta estranha.
Procurar por rastros no /etc/passwd é obrigatório. Adicionar usuários no /etc/passwd é bem a cara de muitos invasores. Portanto, não perca tempo. Tenha em mente todos os usuários cadastrados no sistema e entre com o comando abaixo:
# grep ":0:0:" /etc/passwd
Serão listados os usuários com permissão total no sistema. Para obter mais detalhes é interessante abrir este arquivo (passwd) e dar uma bela olhada. Veja se todos os usuários conferem. Se encontrar algo de estranho, examine.
Como examinar? Use arquivos de log do sistema - o primeiro arquivo de log a ser verificado é o bash_history, que conterá os 1000 últimos comandos digitados por algum usuário. Por exemplo, no caso de um usuário root, o arquivo bash_history se encontrará na pasta /root. Editando-o com o seu editor de textos preferido, você terá uma pequena noção do que foi feito em seu sistema e, assim, tentará corrigir. Se mesmo assim o log bash_history não trouxer informação alguma, utilize o comando:
# ps -aef | grep root
O comando acima procurará por processos executados pelo usuário root, que no caso poderão ser modificados por qualquer outro usuário. Basta verificar se entre a lista não há algum script suspeito sendo executado. Com certeza, este passo lhe trará algumas informações.
Para melhor segurança do seu Linux é bom sempre ter um firewall ou até mesmo um scanner de segurança.
Este artigo foi meu primeiro postado no site, por isso o fiz voltado para os usuários que estão começando no Linux, para que possam entender alguns princípios de segurança em sistemas Linux.
Minha próxima postagem será sobre como recuperar arquivos excluídos - útil para os casos em que alguém deleta seus arquivos durante uma invasão -, e escreverei assuntos sempre voltados para segurança de sistemas Linux.
O que você faria se estivesse com um sistema operacional alheio na mãos? Óbvio, você faria de tudo para não perder o acesso ao sistema, instalando algum tipo de backdoor (descreverei sobre) - ou até mesmo adicionaria um usuário no sistema com privilégios de root. Achar uma backdoor no sistema não é um bicho-de-sete-cabeças.
Mas mesmo sabendo disso, é essencial que você conheça seu sistema, saiba se ele tem dados de datas de execuções de arquivos, quais são as portas abertas, etc.
Para ver todas as portas abertas no sistema, digite o comando abaixo:
# lsof -i
Serão listadas todas as portas que estão sendo usadas. Veja se encontra alguma porta estranha.
Procurar por rastros no /etc/passwd é obrigatório. Adicionar usuários no /etc/passwd é bem a cara de muitos invasores. Portanto, não perca tempo. Tenha em mente todos os usuários cadastrados no sistema e entre com o comando abaixo:
# grep ":0:0:" /etc/passwd
Serão listados os usuários com permissão total no sistema. Para obter mais detalhes é interessante abrir este arquivo (passwd) e dar uma bela olhada. Veja se todos os usuários conferem. Se encontrar algo de estranho, examine.
Como examinar? Use arquivos de log do sistema - o primeiro arquivo de log a ser verificado é o bash_history, que conterá os 1000 últimos comandos digitados por algum usuário. Por exemplo, no caso de um usuário root, o arquivo bash_history se encontrará na pasta /root. Editando-o com o seu editor de textos preferido, você terá uma pequena noção do que foi feito em seu sistema e, assim, tentará corrigir. Se mesmo assim o log bash_history não trouxer informação alguma, utilize o comando:
# ps -aef | grep root
O comando acima procurará por processos executados pelo usuário root, que no caso poderão ser modificados por qualquer outro usuário. Basta verificar se entre a lista não há algum script suspeito sendo executado. Com certeza, este passo lhe trará algumas informações.
Para melhor segurança do seu Linux é bom sempre ter um firewall ou até mesmo um scanner de segurança.
Este artigo foi meu primeiro postado no site, por isso o fiz voltado para os usuários que estão começando no Linux, para que possam entender alguns princípios de segurança em sistemas Linux.
Minha próxima postagem será sobre como recuperar arquivos excluídos - útil para os casos em que alguém deleta seus arquivos durante uma invasão -, e escreverei assuntos sempre voltados para segurança de sistemas Linux.
Páginas do artigo
1. Segurança para iniciantesOutros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada
Inprotect + Nessus: Scanner de vulnerabilidades
Vazamento de informações vitais via "HP Operations Manager Perfd"
Comentários
[1] Comentário enviado por hellnux em 01/02/2006 - 00:14h
Parabéns fantini,
Ótimo artigo!!! =P
HeLLnuX Linuxzando....
Até.
Parabéns fantini,
Ótimo artigo!!! =P
HeLLnuX Linuxzando....
Até.
[2] Comentário enviado por kurumahackid em 01/02/2006 - 00:49h
heheh loko cara
d+
ehehheh
tb jah to fazenu um artigu aki sobre a mais nova versaum do nmap pq o artigu q tem aki eh 1/2 q antigu.Tipow num manju muito d linux assim naum e nem tampouco d nmap mas ajuda a comunidade é sempre bom neh galera?
falows mas axu q o artigu vai 1/2 q demora d sai tenho q estudar pro vestibular seriadu... primeru anu eh phoda!
heheh falow brow!
heheh loko cara
d+
ehehheh
tb jah to fazenu um artigu aki sobre a mais nova versaum do nmap pq o artigu q tem aki eh 1/2 q antigu.Tipow num manju muito d linux assim naum e nem tampouco d nmap mas ajuda a comunidade é sempre bom neh galera?
falows mas axu q o artigu vai 1/2 q demora d sai tenho q estudar pro vestibular seriadu... primeru anu eh phoda!
heheh falow brow!
[3] Comentário enviado por removido em 01/02/2006 - 03:43h
Valeu ae, me foi muito útil ^^
Num sei quase nada de segurança >_< ainda :P
Artigo muito útil e realmente fácil de entender...
Valeu ae, me foi muito útil ^^
Num sei quase nada de segurança >_< ainda :P
Artigo muito útil e realmente fácil de entender...
[5] Comentário enviado por agk em 01/02/2006 - 08:24h
Está bom por ser o seu primeiro artigo, parabéns. No próximos quem sabe você amplie um pouco o conteúdo, traga alguns exemplos práticos pra mostrar pro pessoal, por exemplo: log's de um sistema comprometido.
Para fechar portas abertas do sistema você tem que encerar os processos que as abrem.
O comando netstat pode ser bastante útil no que tange esse aspecto.
Tente dar um:
netstat -ln
Isso lhe mostrará as portas abertas do sistema, já o comando lsof -i mostra apenas as portas que estão sendo usadas naquele momento.
Para uma informação mais precisa faça assim:
netstat -lnap
Isso lhe mostrará informações das portas abertas e quais os processos que estão abrindo essas portas.
Para obter um resultado mais completo rode os comando acima com usuário root.
Bem, espero ter dado meu byte de contribuição, segurança sempre é um assunto polêmico, afinal segurança nunca é demais.
Está bom por ser o seu primeiro artigo, parabéns. No próximos quem sabe você amplie um pouco o conteúdo, traga alguns exemplos práticos pra mostrar pro pessoal, por exemplo: log's de um sistema comprometido.
Para fechar portas abertas do sistema você tem que encerar os processos que as abrem.
O comando netstat pode ser bastante útil no que tange esse aspecto.
Tente dar um:
netstat -ln
Isso lhe mostrará as portas abertas do sistema, já o comando lsof -i mostra apenas as portas que estão sendo usadas naquele momento.
Para uma informação mais precisa faça assim:
netstat -lnap
Isso lhe mostrará informações das portas abertas e quais os processos que estão abrindo essas portas.
Para obter um resultado mais completo rode os comando acima com usuário root.
Bem, espero ter dado meu byte de contribuição, segurança sempre é um assunto polêmico, afinal segurança nunca é demais.
[6] Comentário enviado por yunis em 01/02/2006 - 08:31h
Fantini gostei muito do artigo, parabéns, só tenho uma dúvida uso o conectiva 7 e não consegui executar o comando lsof -i, se puder me ajudar, fico muito grato.
Abraço
Fantini gostei muito do artigo, parabéns, só tenho uma dúvida uso o conectiva 7 e não consegui executar o comando lsof -i, se puder me ajudar, fico muito grato.
Abraço
[7] Comentário enviado por owen em 01/02/2006 - 11:40h
nem eu consegui usar o lsof -i ... to usando o kurumin 5.1
nem eu consegui usar o lsof -i ... to usando o kurumin 5.1
[8] Comentário enviado por owen em 01/02/2006 - 11:42h
consegui! mas pelo root...
primeiro comando su
depois a senha
ai quando estiver no root, lsof -i
VLW! muito bom!
consegui! mas pelo root...
primeiro comando su
depois a senha
ai quando estiver no root, lsof -i
VLW! muito bom!
[9] Comentário enviado por ygorth em 02/02/2006 - 16:13h
Ola,
uma boa iniciativa. Mas a dica do agk tem mais conteudo que o artigo.
Abracos
Ola,
uma boa iniciativa. Mas a dica do agk tem mais conteudo que o artigo.
Abracos
[10] Comentário enviado por shocker em 03/02/2006 - 13:50h
Infelizmente as pessoas não sabem reconhecer a intenção nas coisas. Pela sua intenção você está de parabéns, porém por se tratar do primeiro artigo é óbvio que pode ser melhor. Mais não esquenta com isso, afinal todos estamos aqui para aprender!
Não desista, e poste novos artigos, você verá que com o tempo sua aptidão irá melhorar mais e mais!
Isso aí, grande abraço e boa sorte!
Infelizmente as pessoas não sabem reconhecer a intenção nas coisas. Pela sua intenção você está de parabéns, porém por se tratar do primeiro artigo é óbvio que pode ser melhor. Mais não esquenta com isso, afinal todos estamos aqui para aprender!
Não desista, e poste novos artigos, você verá que com o tempo sua aptidão irá melhorar mais e mais!
Isso aí, grande abraço e boa sorte!
[11] Comentário enviado por container em 08/02/2006 - 09:06h
Legal mas não deveria ser um artigo e sim uma bela dica...
:p
Legal mas não deveria ser um artigo e sim uma bela dica...
:p
[12] Comentário enviado por rafasch em 08/02/2006 - 23:30h
Sem conteúdo , incompleto , e se o objetivo era ajudar iniciantes o artigo deixa mais dúvidas do que respostas.
Faltou explorar um pouco mais , detalhar mais , exemplificar , etc...
Sem conteúdo , incompleto , e se o objetivo era ajudar iniciantes o artigo deixa mais dúvidas do que respostas.
Faltou explorar um pouco mais , detalhar mais , exemplificar , etc...
[13] Comentário enviado por Filipelinux em 09/02/2006 - 10:42h
Cara, muito boa inciativa esta de escrever para iniciantes a respeito de segurança em Linux. Só uma coisa, poderia ser colocado um artigo, já que o alvo são os iniciantes, mais detalhado e com mais informações, já que nem todos que começam com segurança tem uma bagagem Linux. Muitos são usuários de outro SO que estão migrando para o pinguim. Na hora de criar um artigo para leigos escreva com mais detalhes. Para os intermediários e avançados pode ser chato, mas para os iniciantes é fundamental. Neste artigo por exemplo poderia ter 2 ou 3 partes, sendo explicado cada um destes comandos com mais detalhes e até mesmo como conseguir outras informações. Por exemplo, no comando "lsof -i" explicar a função do "-i", para assim ajudar muito mais os novatos. Outra coisa interessante é um link de como utilizar o vi ou então o nano como editor de texto, para que o iniciante vá buscar como utilizar tal ferramenta sem dificuldades. Para iniciantes naõ deve ser dado nada mastigado, mas sim as ferramentas para que este encontre todas as informações necessárias, neste caso os "links".
Para mim que já tenho conhecimento de Linux foi excelente este tutorial, parabéns e continue por este caminho que é muito bom cara.
Cara, muito boa inciativa esta de escrever para iniciantes a respeito de segurança em Linux. Só uma coisa, poderia ser colocado um artigo, já que o alvo são os iniciantes, mais detalhado e com mais informações, já que nem todos que começam com segurança tem uma bagagem Linux. Muitos são usuários de outro SO que estão migrando para o pinguim. Na hora de criar um artigo para leigos escreva com mais detalhes. Para os intermediários e avançados pode ser chato, mas para os iniciantes é fundamental. Neste artigo por exemplo poderia ter 2 ou 3 partes, sendo explicado cada um destes comandos com mais detalhes e até mesmo como conseguir outras informações. Por exemplo, no comando "lsof -i" explicar a função do "-i", para assim ajudar muito mais os novatos. Outra coisa interessante é um link de como utilizar o vi ou então o nano como editor de texto, para que o iniciante vá buscar como utilizar tal ferramenta sem dificuldades. Para iniciantes naõ deve ser dado nada mastigado, mas sim as ferramentas para que este encontre todas as informações necessárias, neste caso os "links".
Para mim que já tenho conhecimento de Linux foi excelente este tutorial, parabéns e continue por este caminho que é muito bom cara.
[14] Comentário enviado por jstequino em 09/02/2006 - 11:10h
Você esta de parabéns...
Muito bom mesmo, só tenho uma observação, espero que no próximo artigo vc descreva mais detalhadamente sobre o assunto que é de vital importância para a comunidade e principalmente para os leigos.
Você esta de parabéns...
Muito bom mesmo, só tenho uma observação, espero que no próximo artigo vc descreva mais detalhadamente sobre o assunto que é de vital importância para a comunidade e principalmente para os leigos.
[15] Comentário enviado por legui em 09/02/2006 - 18:31h
Curti, mas concordo com o jstequino...
Espero poder aprender cada vez mais com voceis...
Curti, mas concordo com o jstequino...
Espero poder aprender cada vez mais com voceis...
[17] Comentário enviado por mlegidio em 03/04/2006 - 00:19h
O artigo é muito bom pois da uma base boa para os iniciantes (como eu).
O artigo é muito bom pois da uma base boa para os iniciantes (como eu).
[18] Comentário enviado por pollontechnology em 29/01/2007 - 12:14h
olá amigo...excelente artigo !!!
Gostaria de ressaltar aos nossos amigos a importancia se saber como combater essas atividades criminosas !!! abordar e procurar tecnicas como o rastreamento e idêntificação de invasores e assim por diante !! porém, tudo vai do interesse de cada novo iniciante....pesquisar é a alma do negócio !!!!!
forte abraço a todos
olá amigo...excelente artigo !!!
Gostaria de ressaltar aos nossos amigos a importancia se saber como combater essas atividades criminosas !!! abordar e procurar tecnicas como o rastreamento e idêntificação de invasores e assim por diante !! porém, tudo vai do interesse de cada novo iniciante....pesquisar é a alma do negócio !!!!!
forte abraço a todos
[19] Comentário enviado por jrs44 em 01/01/2009 - 15:41h
Embora distante no tempo, no espirito do comentario de shocker, gostaria de
agradecer ao fantini por iniciar o topico e ao agk por ampliar, pois para mim
que estou iniciando foram muito uteis. Aproveito para deixar um link relacionado.
http://www.debian.org/doc/manuals/securing-debian-howto/
Embora distante no tempo, no espirito do comentario de shocker, gostaria de
agradecer ao fantini por iniciar o topico e ao agk por ampliar, pois para mim
que estou iniciando foram muito uteis. Aproveito para deixar um link relacionado.
http://www.debian.org/doc/manuals/securing-debian-howto/
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
Excluir banco de dados no xampp (1)
phpmyadmin não abre no xampp (2)
Top 10 do mês
-
Xerxes
1° lugar - 64.015 pts -
Fábio Berbert de Paula
2° lugar - 49.863 pts -
Buckminster
3° lugar - 17.263 pts -
Mauricio Ferrari
4° lugar - 14.974 pts -
Alberto Federman Neto.
5° lugar - 13.532 pts -
Diego Mendes Rodrigues
6° lugar - 13.343 pts -
Daniel Lara Souza
7° lugar - 12.733 pts -
Andre (pinduvoz)
8° lugar - 10.120 pts -
edps
9° lugar - 10.105 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 9.976 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
