Este artigo tem a proposta de levantar a discussão sobre as vulnerabilidades do sistema operacional Linux. Mesmo sabendo-se que o Linux é o sistema operacional mais seguro que existe, fica o ALERTA: O Linux pode ser tão vulnerável quanto um Windows. Esta leitura é indicada principalmente para quem está iniciando. Espero que seja bastante produtiva.
Um sistema bem administrado diminui enormemente a probabilidade de invasão. Segundo as vulnerabilidades aqui discutidas, vamos dar algumas dicas de segurança:
BIND. Procure adotar uma política de mascaramento das informações.
RPC. Use o serviço somente se necessário.
APACHE. Ajuste bem as configurações. Habilite somente scripts e programas com destino correto e que não comprometam de forma alguma o sistema.
Contas de usuários. Evite criar contas de usuários em demasia, principalmente contas para acesso multiusuário. Adote uma política de senhas seguras e jamais permita o acesso a serviços e contas de usuários SEM senha.
Serviços ASCII. Toda comunicação pode e deve ser feita de forma encriptada. Arquivos ASCII são muito vulneráveis e todos podem ter acesso ao seu conteúdo facilmente.
Sendmail. Atualize e configure corretamente. De preferência, gaste um pouco de tempo e implemente outro servidor.
SNMP. Não esqueça de estabelecer as regras de utilização do serviço. Não use se não for necessário.
SSH. Muitíssimo bom, mas configure-o da forma mais restrita possível. Restrinja o acesso somente a usuários do sistema. Se possível, restrinja o acesso ao X. Controle o acesso às chaves privadas. Bloqueie passphrases em branco, elas se tornam uma arma na mão dos "hackers".
Compartilhamento de rede. Compartilhe somente o que for necessário e restrinja ao máximo o acesso dos usuários ao compartilhamento. De preferência use alguma ferramenta de autenticação.
SSL's restritivas é a melhor opção quando não puder ficar sem elas.
O próprio site Viva o Linux oferece uma série de artigos, configurações e dicas para deixar o seu sistema Linux bem mais robusto. Utilize a ferramenta de busca e divirta-se, ou melhor, proteja-se.
[1] Comentário enviado por y2h4ck em 27/09/2004 - 10:39h
Primeiro:
"Mesmo sabendo-se que o Linux é o sistema operacional mais seguro que existe, fica o ALERTA: O Linux pode ser tão vulnerável quanto um Windows." isso esta longe de ser real, linux nao e o sistema mais seguro do mundo, principalmente se for comparado como OpenBSD que esta a mais de oito anos sem uma vulnerabilidade remota em sua instalação Default.
Outra coisa que vc passou e eu achei estranho foi o seguinte:
"Sendmail: tem tal vulnerabilidade ...
bind: tem tal vulnerabilidade... "
O que realmente não é assim... nao existem vulnerabilidades pré-definidas, as vulnerabilidades que entram em cena sao explorações muitas vezes de alto nivel, portanto não se pode prever determinada vulnerabilidade até que a mesma seja encontrada e documentada.
Creio que não existem passos para tornar um sistema mais seguro, a não realmente criar uma verdadeira mentalidade de segurança, e pensar com mais segurança. Deixar o sistema sempre atualizado é uma boa maneira de deixa-lo seguro, a questao nao e por quanto tempo, mas sim : ele esta apto a resistir quando uma falha surgir ??
[2] Comentário enviado por dvissotto em 27/09/2004 - 11:27h
Bom, em primeiro lugar agradeço os comentários para o meu artigo "Vulnerabilidade e segurança no linux".
Houve um equívoco talvez quanto ao título do artigo, pois minha intenção estava longe de atrair "experts" na área de segurança. Por isto, este comentário é uma espécie de retratação.
O artigo destina-se aos aventureiros linux, que já não são poucos e estão inflacionando as listas de discussão querendo soluções rápidas e baratas para melhorarem a segunrança sem querer aprender muito. Logo, quando falo em o linux ser o sistema operacional mais seguro, estou falando dos sistemas operacionas "amigáveis", ou seja, aqueles que o usuário pode instalar e operar com uma certa facilidade.
Com relação as vulnerabilidades encontradas (bind, sendmail, etc...) são as reportadas no link de uma pesquisa realizada em 2003 e sem resultados atualizados ainda, logo, as vulnerabilidades FORAM reportadas nesta pesquisa e não pré-definidas ou previstas. Fazem parte de uma ESTATÍSTICA que é aqui comentada.
Concordo plenamente que a melhor política é criar uma mentalidade de segurança. Esta não se aprende passo-a-passo. É preciso experiência e conhecimento. Isto não é possível somente com um artigo sobre segurança. O que pretendi fazer foi criar alguns cuidados básicos para as pessoas menos pacientes que querem resultados rápidos.
Meu artigo NÃO apresenta uma solução de segurança para o sistema operacional linux, mas somente comentários sobre o assunto, válido, até certo nível de conhecimento em Sistemas Operacionais.
[3] Comentário enviado por androle em 27/09/2004 - 21:04h
Achei bem interessante. Para quem não é profissional do ramo e está iniciando é um artigo bem útil. E acho que até para quem é.
Indica onde começar a procurar, ou pesquisar. E a não ficar tranquilo com a instalação default. Se vc nem sabe o que está acontecendo na sua máquina, por que não tem idéia do que acontece, é difícil ter segurança.
Esse é o problema, e acho que a mentalidade do usuário médio tende a, muito lentamente, mudar com o tempo. Acho que com a popularização da banda larga e de máquinas sempre conectadas as pessoas começarão a ver ataques e invasões como algo mais próximo. Mais uma violência para atormentar o cidadão médio. E logo haverá pelo menos um interesse em saber mais. Do mesmo modo que não sou especialista em segurança pessoal e mesmo assim evito ruas escuras, coloco grades na janela, etc., com o tempo os usuários vão começar a pensar mais nisso em relação a computadores.
Saber que simplesmente instalar o Linux e ficar tranquilo não é suficiente é um bom começo. Tem de pelo menos saber o que pode desligar e o que não pode. Lembro que uma vez, quando usava RedHat ou Conectiva, não sabia o que podia desabilitar no ntsysv. E convenhamos, quem está iniciando e é usuário doméstico nem sabe onde começar a procurar informação sobre isso.
Por isso achei bom o seu artigo, indica onde começar a procurar entender, procurar saber o que são todas aquelas siglas no boot. :)
[6] Comentário enviado por wavemmx em 14/10/2005 - 11:02h
Sempre nos só criticamos o sistema da micro$oft. Só porque estamos com o Linux não quer dizer que estamos seguros (sempre ja vi aquela frase, "O linux é estável, versátil e seguro") e nós com a nossa ingenuidade esquecemos de atualizar o sistema, manter um firewall ativa e definir uma boa política de senhas e usar serviços seguros. O artigo é "show" me da mais motivo para eu ficar alerta
[7] Comentário enviado por ZX350 em 09/11/2005 - 10:11h
Que lavada, bom pra gente ter mais atenção na nossa rede, como disse o wavemmx "ñ é so pq estamos com o linux q estamos seguros". Vamos ficar espertos.
[9] Comentário enviado por Penrral em 26/02/2006 - 14:24h
Caro Dornelles! Achei seu artigo muito bom... porém discordo de um ponto... não sobre você, mas sobre quem falow "O Sistema Operacional mais seguro é aquele que você mais domina." com certeza para garantir segurança em qualquer sistema é necessario ter o dominio do mesmo.
Mas tem um ponto que vai além do sistema operacional, a principal falha de todos os sistemas é humana "Usuario e/ou Administrador descomprometido com a segurança ou mal treinados", atitudes simples porém desconhecidas por muitos podem deixar qualquer sistema, muito mais seguros. Como treinar seu usuario e dar a ele uma cópia da cartilha de segurança do CERT.br.
Temos hoje um cenário preocupante onde muitos admin "acham-se DEUSES" e esquecem que o protagonista na segurança de sistemas é nosso "REI" ou as vezes "demoniozinho nascido das profundesas do inferno" rsrsrs :)... o USUARIO.
De nada vale voce ter um sistema muito bem configurado sem uma politica de segurança de qualidade satisfatória. E temos que nos lembrar sempre: "A pior politica de segurança é aquela que fica guardada dentro de uma gaveta e NÃO é de conhecimento comum de todos os envolvidos"
[10] Comentário enviado por linus black em 11/09/2006 - 06:12h
como sou novo no mundo linux eu deixo aqui uma sugestão...
criar um escript,ou um programa pre teste de instalação para verificar e sugerir modificações no sistema a ser instalado .
não sou muito bom ainda mas por ler tanto sobre linux e suas aplicações sei que e pocivel pois quem criou o linux pensava como eu nada e impossível para a vontade humana.
nota 10
[11] Comentário enviado por kroz em 10/11/2006 - 15:20h
este artigo nao e so pra quem e "novato" ou aventureiro do linux....
si nao e tambem uma reprise pra quem ja eh xpert!, tem coisas q a gente esquece, ou nao da atencao... ingnoramos, as coisas nao sao bem asim como pensamos... o linux pode chegar a ser o OS mas vulneravel ainda q o Exemplo RuinDows... Galera somos "linuxistas" temos q deixar em alto a fama de melhor em seguranca... so pra lembrar de nossas obrigacoes como linux`user.
* este artigo e dez veio...
[15] Comentário enviado por loirojones em 03/03/2012 - 11:13h
Amigo.... esqueceste do essencial...política de segurança também é relacionada a educação dos funcionários da empresa para que não ocorra a chamada Engenharia Social.... outro caso...
mude a porta de acesso do seu ssh que por padrão é a 22
vc pode alterar no diretório vi /etc/ssh/sshd_config