Em memória de Giordani Rodrigues
Total Security - infoguerra.com.br
Segurança
Sexta - 02 de Janeiro de 2004 às 11:33
Por: xStaliN

    Imprimir


Aqui você vai encontrar algumas dicas para a segurança de seu sistema, tais como segurança física, de redes, das contas e dos arquivos.

1 - Segurança
Física


Segurança dos
servidores:

- Devem estar em uma sala fechada (com número limitado de cópias
das chaves)

- Se possível deixar os servidores sem teclado (eu faço isso)


Segurança dos
Dados :

- Os backups físicos devem ser armazenados em local seguro

- Deve existir um esquema de recuperação dos dados

- A rede deve possuir um sistema de no-break e ser estabilizada

- Armários com informações sigilosas devem permanecer trancados


- Fitas, listagens e outras mídias com informações sigilosas
devem ser destruídos


Medidas de Segurança
para Usuários:

- Usar protetor de tela (com senha de preferência, apesar de não
adiantar muito) ou sair do sistema quando estiver ausente

- Não escrever a senha na mesa ou monitor (isso acontece muito)

- Cuidado ao usar xauth/xhost para que outros não leiam a tela


2 - Segurança
da Rede


Filtragem:

- Não habilite serviços que não serão utilizados
(inetd.conf)

- Crie uma lista de controle de acesso /var/adm/inetd.sec para dizer quais hosts
podem conectar

- Filtre no roteador os serviços desnecessários

- Sempre tenha instalado um firewall

- Tenha certeza de que somente os serviços requeridos na rede são
permitidos através dos filtros do seu roteador. Em particular se os serviços
abaixo não forem requeridos, filtre-os em seu roteador:





- Qualquer serviço
UDP que responda pacotes de entrada estão sujeitos a ataques DoS (Denial
of Service).


Comandos r:

Se não for necessário a utilização de comandos r”

Desabilite todos os comandos r (rlogin, , rsh, rcp, etc), isso talvez
aumente o risco de captura de senhas com sniffer, mas os comandos r
são uma verdadeira mina de insegurança e ataques.

Se os comando r forem realmente necessários, use versões
mais seguras dos comandos r (o pacote logdaemon de Wietse Venema
contem versões mais seguras de comandos r, estas versões
podem ser configuradas para consultar somente o arquivo /etc/hosts.equiv e não
o $HOME/.rhosts. Ele possui uma opção para desabilitar o uso de
coringas *****+*****).

- Filtre as portas TCP 512, 513 e 514 no roteador no caso de usar comandos r
(isto evita que pessoas de fora do seu domínio explorem estes comandos,
mas não evita que pessoas dentro do domínio explorem os comandos,
para isso é necessário desabilitar os comandos)


Segurança de FTP:

- Tenha certeza que da existência do /etc/ftpusers com todas as contas
dos sistema

- Mínimo de permissões e mínimo de contas

- Sempre log as transações de FTP e olhe os logs :)

- Se possível tire a permissão de gravação para
os diretórios




3 - Segurança de Contas


Segurança de Senhas:

- Toda conta deve ter o campo passwd preenchido

- Somente o root deve ter UID 0

- Evitar o uso de arquivos .netrc

- Contas com várias tentativas de login inválidas devem ser desativadas


Conta root :

- Root deve logar somente da console (/etc/securtty)

- O path do usuário root nunca dever ter um ponto (.)

- O número de pessoas que usam root deve ser limitado

- Use uma senha forte

- Nunca deixa o shell de root logado (terminou o servico faça logout)


- Troque a senha de root a cada três meses

- Faça login com um usuário comum depois de su para
root

- Se possível a umask deve ser 077

- Sempre use o caminho completo, quando não estiver na console

- Não permita que outros usuários tenham permissão de escrita
nos diretórios que estão no PATH do root

- Se possível o diretório tmp deve ter restrições
de gravação


Conta guest:

- Limite o tempo de conexão

- Evite o uso de nome padrão como guest

- Use senha forte

- Use shell restrito

- Se possível a umask dve ser 077




4 - Segurança de Sistemas de Arquivos


Segurança de NFS:

- Somente use NFS se necessário, aplique os últimos patchs

- Cuidado ao utilizar /etc/exports ou ( /etc/dfs/dfstab em SUN )

- Não use SUID se possível

- Nome de host deve ser informa completo


Segurança de device:

- /dev/null, /dev/tty e /dev/console devem ter direito de leitura para todos,
mas nunca de execução.

-A maioria dos outros arquivos não devem ter direito de leitura e execução
para usuários mortais.

- /dev/kmem, /dev/dmem e /dev/mem deve ter permissões somente para o
root


Segurança de script:

- Nunca habilite SETUID/SETGID para shell script

- Scripts sempre devem ter o nome de arquivos completo

- Mínimo de sistemas de arquivos com permissão de escrita

- Use somente SETUID/SETGID onde for necessário

- Tenha certeza de que arquivos importantes são acessados somente por
pessoas autorizadas




5 - Testes de Segurança


- Sempre tenha o ultimo
patche instalado

- Inscreva-se em listas de segurança

- Sempre aplique ataques no seu próprio servidor testar a segurança
do mesmo

- Verifique regularmente os arquivos btmp, wtmp, syslog, sulog,...






Comentários

Deixe seu Comentário

URL Fonte: https://infoguerra.com.br/noticia/300/visualizar/