Mantenha seu linux em segurança
Limite o número de programas que necessitam de SUID root no seu sistema
Programas SUID root são programas que, quando rodam, rodam com permissão total
no sistema. Algumas vezes é preciso, mas muitas vezes não. Os programas SUID
root podem fazer qualquer coisa que o root pode tendo um alto nível de
responsabilidade em termos de segurança.
Rode programas com privilégio mínimo no acesso
Como foi dito antes, alguns programas não precisam ser root (ter permissão total
ao sistema) para serem rodados, mas precisam de um alto acesso para o usuário
normal. Aqui é onde começa a idéia do privilégio mínimo de acesso. Por exemplo,
a LP (linha de impressora) possui comando que precisam de alto acesso para o
usuário normal (para acessar impressora), mas não precisa rodá-los como root.
Então, uma pequena coisa a fazer é criar um usuário (/bin/true como shell) e um
grupo chamado lp e fazer com que qualquer usuário possa rodar qualquer dos
comandos de LP e fazer tudo com os comandos LP que tiverem como owner e grupo
LP. Isso fará com que o lp possa fazer seu trabalho (administre as impressoras).
Então, se o usuário LP estiver compromissado, o invasor realmente não vai dar um
passo de root no seu sistema. Agora para alguns programas que são SUID root,
crie um usuário e um grupo para o programa.
Desabilite serviços que você não precisa ou não usa
Se você não usa rpc.mountd, rpc.nfsd, ou outros daemons parecidos, não rode-os.
Simplesmente dê "kill -9" (comando utilizado para matar processos, terminar o
programa) neles, vá nos scripts em /etc/rc.d e comente-os. Isso aumentará a
memória e seu sistema ficará menos carregados; é um meio de se prevenir de
invasores que tentam obter informações sobre seu sistema.
Tenha sempre os mais recentes /lib´s
Os arquivos /lib´s são códigos share: quando um programa precisa de uma certa
peça do código, ele simplesmente vai e pega este código). A vantagem não seria
outra: Programas são compilados menores, se uma peça do código lib está
desaparecido, você pode simplesmente fazer upgrade. Desvantagens: o código
desaparecido em /lib vai afetar alguns programas e se um invasor puder suas mãos
no /lib´s, você realmente estará com dificuldades.
A melhor coisa a fazer corretamente os upgrades para as lib´s e checar o tamanho
e data freqüentemente nas alterações.
Encriptando nas conexões
O pacote Sniffing é simplesmente o melhor meio para pegar passwords (senhas do
sistema). O sniffer se acomoda em uma máquina, em uma subrede não encriptada e o
rendimento será centenas de logins e passwords do ftp, telnet, Pop3. Não somente
dos computadores locais, mas também de outras redes de computadores. Agora você
pode dizer para você mesmo, "Mas eu tenho Firewall na minha rede, então eu estou
seguro". "Besteira". sniffers atacam por trás dos firewalls, eles são instalados
localmente. Um sniffer poderá ser bem utilizado pelo administrador quando ele
quiser saber o que os outros estão fazendo em sua máquina, já que ele irá
interceptar pacotes enviados de uma máquina para outra, mas em mãos erradas ele
poderá causar muitos danos a sua máquina.
Instale wrappers para /bin/login e outros programas
Wrappers são programas pequenos, mas muito eficientes que filtram o que está
sendo enviado para o programa. O login wrapper "remove todas as instâncias de
várias variáveis do ambiente" e o wrapper do sendmail faz mais ou menos o mesmo.
Mantenha seu Kernel na última versão estável
Está dica realmente é aplicada a pessoas que possuem usuários no seu sistema.
Kernel antigos possuem seus bugs conhecidos por qualquer pessoa e às vezes são
muito instáveis. ainda mais bugs locais, Kernel 2.4.X tendem a serem mais
rápidos que as versões 1.2.X, 2.0.X e, é claro, mais estáveis. Uma boa opção
você é o script "getkernel.sh", Criado por Hugo Souza (hugo@aleph.com.br), que
serve para automatizar o download dos fontes completos do kernel do Linux. Ele
percorre todos os mirrors oficiais do kernel.info, encontra o mais disponível no
momento e faz o download.
Quem já tentou fazer download de uma versão do kernel no próprio dia do
lançamento sabe bem a dificuldade que é encontrar um mirror que não esteja
lotado ou lento. Transforme este problema em coisa do passado!!
Em um outro artigo falaremos melhor sobre o Kernel, pois o Kernel é a alma do
sistema; sem kernel o sistema não seria um sistema .... E nada melhor que ter um
kernel sempre o mais seguro e atualizado possível.
http://www.linux.trix.net/getkernel-1.0.tar.gz
Ao compilar seu Kernel, somente compile o que vai usar
Quatro razões para você compilar só o básico de pacotes do kernel: O Kernel vai
ficar mais rápido (menos códigos para rodar), você vai ter mais memória, ficará
mais estável e partes não necessárias poderão ser usadas por um invasor para
obter acesso em outras máquinas.
Deixem saber o mínimo possível sobre seu sistema
Um simples finger para o sistema da vítima pode revelar muitas coisas sobre seu
sistemas; Quantos usuários, quando o administrador está dentro, ver o que ele
está fazendo, quem ele é, quem usa o sistema e informações pessoais que podem
ajudar um invasor a conseguir senhas de usuários. Você pode usar um potente
finger daemons e limitar quem pode conectar ao seu sistema e exibir o mínimo
possível sobre seu sistema.
Escolha boas senhas
Simplesmente ponha, senhas ruins é a chave para penetrar em seu site. Se você
instalar o shadow em uma Box, você pode escolher para filtrar senhas ruins, tipo
login: kewl, password: kewl, esta senha já não seria aceita, e isto é uma boa
idéia.
Sempre que você tiver uma pequena quantidade de pessoas no seu sistema, e eles
são amigos, algum usuário não convidado pode obter root e fazer um "rm -rf /".
Se você puder, limite quem pode se conectar ao seu linux
Se possível, bloqueie o acesso telnet, ftp, ssh, de fora da subnet e bloqueie
acesso direto do root apenas comentando o arquivo /etc/securetty. Certamente que
seja mais seguro e você vai ter a sorte de não ter sistema danificado por
estranhos.
Utilize um scan para encontrar possíveis bugs no sistemas
Utilize o NESSUS, uma ferramenta de segurança desenvolvida por Renaud Deraison,
em 1998. Com ele é possível verificar várias vulnerabilidades em seu sistema,
sendo um dos melhores security scanner na atualidade.
Maiores informações:
http://www.nessus.info
Faça o Download do Nessus em:
ftp://ftp.mirror.arc.nasa.gov/pub/tools/nessus/