Encapsulando BIND 9 e Apache 2 para obter maior segurança

Buckminster

Utilizar encapsulamento (uma técnica de chroot) aumenta a segurança do servidor, pois, caso um invasor consiga explorar alguma vulnerabilidade do programa, o meliante não conseguirá ter controle total sobre o sistema.

[ Hits: 19.480 ]

Por: Buckminster em 13/01/2014

1 0

Denuncie Favoritos Indicar Impressora

Conclusão

Veja que são vários comandos, porém, desta maneira fica bem evidente o encapsulamento, dando um rigor maior na segurança. Poderia ter encapsulado mais arquivos, poderia ter enjaulado o shell do sistema também (ou o bash, ou o sh, etc), porém, estaríamos beirando o limite de uma "neurose patológica".

Apesar de que, nesses casos, segurança nunca é demais. Além do que, lembre-se que em servidores, é imprescindível ter um Firewall bem configurado.

Com o comando mv, movemos os diretórios necessários (com os arquivos de configurações, inicialização, bibliotecas, etc) para outro diretório e depois, criamos um link simbólico (ln -s) de volta para o diretório movido.

Os diretórios named e jaula, foram criados à escolha do vivente, podendo alterar os nomes.

Recomenda-se alterar os caminhos também, por exemplo, os diretórios named e jaula, não precisam estar necessariamente em /var/lib, pode se colocá-los em /opt, /usr/local, pode-se criar um diretório em um lugar de sua escolha, etc.

Recomendo encapsular o BIND 9 em um diretório que esteja em um caminho diferente do encapsulamento do Apache 2. Aqui, foi colocado no mesmo diretório /var/lib para fins didáticos e de facilidade de entendimento.

Aconselho a fazer esse procedimento logo após instalar qualquer serviço e antes de fazer as configurações. Porém, nada impede que faça depois.

Existem outras técnicas de rodar o modo chroot, esta foi escolhida por adaptar-se à maioria das distribuições GNU/Linux, bastando apenas observar os arquivos e seus respectivos caminhos, pois às vezes, mudam de distribuição para distribuição.

E com esta técnica, não precisa instalar nenhum programa adicional para o modo chroot e não precisa rodar o comando chroot para entrar nele.

Os programas com seus respectivos processos ficam "enjaulados". E pode-se aplicar essa técnica em qualquer programa que se queria "enjaular".

Existem várias maneiras de aprimorar a segurança no GNU/Linux, essa aqui mostrada, é apenas mais uma delas.

Link para configurar o Debian em chroot:

chroot - Debian Wiki

Referências

Gabriel Torres, Redes de Computadores, versão revista e atualizada. Editora Novaterra, 2010.
Descritores Padrão de Arquivos « www.if.ufrgs.br

Página anterior

Páginas do artigo

   1. Introdução
   2. BIND 9
   3. Apache 2
   4. Conclusão

Outros artigos deste autor

A Involução do Linux e as Lambanças Desnecessárias desde o seu Lançamento

Customizar a Instalação do Linux Debian com Preseed

Redes de Computadores · IPtables · Endereços IPs - Explicações básicas

INSTALAR (e jogar) COUNTER STRIKE 1.6 (install cs 1.6) NO LINUX

Manual traduzido do Squid

Leitura recomendada

Chroot + Bind sem stress

Bloqueio de repetidas tentativas de login ao seu Linux

Bloqueio de Países com IPTables

Gerenciamento de segurança da informação com open source (parte 1)

Análise passiva (parte 2)

Comentários

[1] Comentário enviado por xjc em 15/01/2014 - 20:46h

artigo incompleto . faltou instalar o tal jaula ou explicar . e explicar os comandos .

0 0

[2] Comentário enviado por Buckminster em 15/01/2014 - 21:55h

[1] Comentário enviado por xjc em 15/01/2014 - 20:46h:

artigo incompleto . faltou instalar o tal jaula ou explicar . e explicar os comandos .

Por gentileza, leia o artigo inteiro.

0 0

[3] Comentário enviado por cromado em 17/01/2014 - 21:46h

Instalar o tal "jaula" é de foder heinn ahueuuuhaehaue.
Mas de fato, eu achei a explicação confusa em relação ao encapsulamento, jaula, chroot, whatever.
Nada que um google não resolva, mas cara iniciante vai se perder sobre o funcionamento da coisa.

0 0

[4] Comentário enviado por Buckminster em 18/01/2014 - 05:51h

[3] Comentário enviado por cromado em 17/01/2014 - 21:46h:

Instalar o tal "jaula" é de foder heinn ahueuuuhaehaue.
Mas de fato, eu achei a explicação confusa em relação ao encapsulamento, jaula, chroot, whatever.
Nada que um google não resolva, mas cara iniciante vai se perder sobre o funcionamento da coisa.

Concordo. Mas subentende-se que para ""encapsular" qualquer programa através dessa técnica, o cara já tenha algum conhecimento de GNU/Linux. Ou seja, o cara já saiba instalar e configurar o programa desejado. E, para tanto, ele já deve possuir algum conhecimento, não tanto de comandos, mas de entendimento sobre o funcionamento do Linux.

Eu não quis me estender, pois daí o artigo se tornaria muito extenso. O ponto é justamente o funcionamento da coisa, e isso não tem como ensinar em um único artigo.
E, como você disse, mesmo um iniciante, com alguma boa vontade, nada que um Google não resolva.

0 0

[5] Comentário enviado por px em 19/01/2014 - 04:49h

O ideal seria encapsular todo o computador! rsrs

Tem um "programa" chamado SELinux que faz um ótimo acréscimo á segurança no linux, talvez um tema para um futuro artigo! - mas como foi "criado" pela NSA e devido aos últimos acontecimentos... + minha preguiça fatídica ao escrever! KKKK

Ótimo artigo novamente, nota 10!

PS: To esperando aquele artigo voltado no Assembly, sem pressa brow... mas se apresse! rsrs

0 0

[6] Comentário enviado por Buckminster em 19/01/2014 - 20:30h

[5] Comentário enviado por px em 19/01/2014 - 04:49h:

O ideal seria encapsular todo o computador! rsrs

Tem um "programa" chamado SELinux que faz um ótimo acréscimo á segurança no linux, talvez um tema para um futuro artigo! - mas como foi "criado" pela NSA e devido aos últimos acontecimentos... + minha preguiça fatídica ao escrever! KKKK

Ótimo artigo novamente, nota 10!

PS: To esperando aquele artigo voltado no Assembly, sem pressa brow... mas se apresse! rsrs

Estou elaborando ele. Não me esqueci não.

0 0