[Fedora-users-br] análise de vulnerabilidade no servidor

[André Felício]

Rau,

Esqueceu de algumas coisas que muita gente ignora ou apenas desconhece:
1 - Utilizar o tcp_wrapper, para saber se o servidor suporta tcp_wrapper basta 
um ldd nele e ve se tem libwrap.
2 - Apreender a usar o selinux no lugar de ficar desabilitando (como vejo 
muita gente fazer). Agora com o setroubleshoot que até da dicas do que esta 
dando errado não tem desculpa...


> Algomas dicas do que se pode fazer em um sistema para deixá-lo mais seguro:
>
> - Hardering
> Ou seja, tirar as permissões de quase tudo. Exemplos?
> SUID de arquivos - Não permitir que nenhum arquivo rode com permissões de
> dono de outro usuário
> /etc/passwd com quase nenhum serviço rodando com um shell válido (somente
> os extremamente necessários)
> Politica bem definida com o PAM. Limitando acesso por horário, por usuário
> etc.
> Ainda no PAM, usar cracklib para definição de senhas etc.
> Configurar as partições, principalmente /home, /tmp, /var/log com os
> parâmetros NOSUID, NOEXEC
> Configurar a variável TMOUT para os usuário logados.
> Bloquer login de root, só permitindo su, e ainda assim para usuários
> específicos.
> SSH com chave.
> Senha no gerenciador de boot
>
> Criar um sistema que rode em chroot, como serviços enjaulados. Um bom
> exemplo seria apache, ftp, e serviços que seriam abertos à acessos
> externos.
>
> Utilizar um registro de eventos com o Syslog-NG
>
> Um IDS bem configurado.
>
> Programas para checar vulnerabilidades.
>
> Bem, por ai já deve-se ter uma idéia do tanto de trabalho que é pensar em
> segurança. Isso por que não mencionei metado do necessário e possível.
>
> Segurança é algo bem complexo, que exige muito de um Administrador. Analise
> de logs, acompanhamentos, check-list de verificações.
>
> Tenho um conhecido que fala: "Para se proteger, pense como um cracker.
> Imagine as formas que você usaria para entrar em sua rede. Para saber se
> está vulnerável, tente se invadir, mas com determinação, com vontade de
> quem quer obter lucro tendo acessos à seus arquivos."
>
> Bem, acho que deu pra passar uma idéia do que quis dizer, mas também acho
> que me delonguei muito.

-- 
Att,

André Felício
http://www.felicio.com.br

 It's the thought, if any, that counts!