Seguraça extrema com LIDS
Este artigo nos introduz ao LIDS (Linux Intrusion Detection System), um sistema robusto que aplicado como patch no kernel nos oferece recursos extremos de configurações de segurança do sistema operacional.
[ Hits: 52.142 ]
Por: Anderson L Tamborim em 21/02/2004 | Blog: http://y2h4ck.wordpress.com
Configurando o LIDS
4.1 - Protegendo um arquivo/pasta como "somente leitura"
Essa configuração não irá permitir que nenhum usuário consiga escrever nos arquivos protegidos. Essa atitude é muito útil em caso de arquivos binários como o /bin/login, /bin/su para evitar o trabalho de rootkits.
Devemos frisar que quando digo nenhum usuário, me refiro a nenhum mesmo, nem mesmo o root. Portanto cuidado com os arquivos que irá proteger.
# lidsconf -A -o /path/to/file -j READONLY
Isso será necessário para proteger o arquivo como somente leitura. Se quisermos proteger uma pasta toda, basta colocarmos a pasta que queremos:
# lidsconf -A -o /pasta -j READONLY
E todas subpastas e arquivos de dentro estarão protegidos.
4.2 - Protegendo um arquivo/pasta tornando-o oculto e inacessível por usuários
Essa configuração tornará o arquivo protegido como invisível e inacessível para os usuários e para o sistema. Assim ele se tornará quase que algo não existente.
Raramente usaremos esses parâmetros sozinhos e sim em conjuntos para obter um controle em que softwares poderão escrever em determinados arquivos e tudo mais.
# lidsconf -A -o /path/file -j DENY
Com isso o arquivo ficará totalmente inacessível.
Isso e muito útil quando temos um servidor em que não se adiciona usuários, daí faremos o seguinte esquema para proteger o /etc/shadow:
# lidsconf -A -o /etc/shadow -j DENY
# lidsconf -A -o /bin/login -j READONLY
# lidsconf -A -s /bin/login -j READONLY
Isso faria com que nós conseguíssemos logar no sistema, mesmo o /etc/shadow estando totalmente inacessível ao sistema. Somente o /bin/login interage com ele.
4.3 - Como proteger meus arquivos de logs?
Bom, com certeza que arquivos de logs são os alvos mais previsíveis durante uma invasão, todo usuário iria querer sumir com suas entradas de dentro deles. Portanto, protegendo os logs como APPEND eles podem apenas ser adicionados, nunca apagados.
# lidsconf -A -o /var/log -j APPEND
Assim o invasor mesmo com root no sistema não conseguiria eliminar seus vestígios no sistema.
Bom, isso é o básico que todos devem saber sobre o LIDS. Vou passar agora umas regras básicas de proteção para o sistema, como por exemplo, proteger determinador daemons.
Páginas do artigo
1. Introdução ao LIDS2. Instalando o LIDS
3. Conhecendo o LIDS
4. Configurando o LIDS
5. Configurações básicas para o sistema
6. Considerações finais
Outros artigos deste autor
SECtool - Análise Local para Linux
PaX: Solução eficiente para segurança em Linux
Jails em SSH: Montando sistema de Shell Seguro
Segurança no SSH via plugins da PAM
Leitura recomendada
Criando senhas seguras com o mkpasswd
Instalação do Freeradius com suporte a EAP-TLS e PEAP-TTLS MSCHAPv2 no Ubuntu
Iptables protege contra SYN FLOOD?
Monitoramento de redes com o Zenoss
Configurando uma VPN IPSec Openswan no SUSE Linux 9.3
Comentários
[1] Comentário enviado por fabio em 21/02/2004 - 12:34h
Já cansei de ouvir falar sobre LIDS, mas como nunca dei a devida atenção para segurança, nunca tinha procurado saber do que se tratava. Lendo esse artigo agora posso afirmar, essa é uma ferramenta fantástica. Parabéns!
Já cansei de ouvir falar sobre LIDS, mas como nunca dei a devida atenção para segurança, nunca tinha procurado saber do que se tratava. Lendo esse artigo agora posso afirmar, essa é uma ferramenta fantástica. Parabéns!
[2] Comentário enviado por viniciusr em 22/02/2004 - 00:44h
parabens spawn... D:
meu maninho :X
root (un)security comming...
parabens spawn... D:
meu maninho :X
root (un)security comming...
[3] Comentário enviado por Copyleft em 22/02/2004 - 13:07h
Oi, muito bom o artigo, fiz tudo, estou apenas tendo algumas respostas diferentes em relacao as regras e duvidas (de lei:)).
/sbin/lidsconf -A -s /usr/local/apache/bin/httpd -o /etc/httpd -j READONLY
lidsconf: cannot find the object file
/sbin/lidsconf -A -o /etc/lilo.conf -j DENY
lidsconf: the type is less than default permssion, this rule is useless
Estes sao apenas alguns exemplos, na maioria esta funcionado, alguem sabe qual meu erro aqui, no FAQ do site parecem ser as mesmas...alguem sabe de outro local com algumas?
Estava lendo (um livro muito velho), nele recomenda-se deixar o
[ ] Security alert when execing unprotected programs before
sealing LIDS selecionado, qual valor vcs recomendam?
E a respeito do 30:CAP_INIT_KILL, melhor deixar + ou -?
Desde ja agradeco pela ajuda:)
Oi, muito bom o artigo, fiz tudo, estou apenas tendo algumas respostas diferentes em relacao as regras e duvidas (de lei:)).
/sbin/lidsconf -A -s /usr/local/apache/bin/httpd -o /etc/httpd -j READONLY
lidsconf: cannot find the object file
/sbin/lidsconf -A -o /etc/lilo.conf -j DENY
lidsconf: the type is less than default permssion, this rule is useless
Estes sao apenas alguns exemplos, na maioria esta funcionado, alguem sabe qual meu erro aqui, no FAQ do site parecem ser as mesmas...alguem sabe de outro local com algumas?
Estava lendo (um livro muito velho), nele recomenda-se deixar o
[ ] Security alert when execing unprotected programs before
sealing LIDS selecionado, qual valor vcs recomendam?
E a respeito do 30:CAP_INIT_KILL, melhor deixar + ou -?
Desde ja agradeco pela ajuda:)
[4] Comentário enviado por Copyleft em 22/02/2004 - 14:22h
Voltei, bom eu dei uma olha e vi que estas menssagens sao bugs...nao se deve usar o lidstools-0.5.1 e lidstools-0.5.2 com kernel 2.4.24, nesta ja aproveitei e instalei o kernel 2.6.2 com o lids-2.0.4pre1-2.6.2 e lidstools-0.4 (recomendado), pelo fato desta versao ter uns lances de bloquear worms em HTTP, FTP, POP3, mas ta em desenvolvimento...alguem aqui esta usando, caso esteja, ta dando muito pau?
Se colocar assim funciona:
lidsconf -A -o /etc/ipsec.secrets -j DENY
lidsconf -A -o /etc -j READONLY
Se inverter nao rola:
lidsconf -A -o /etc -j READONLY
lidsconf -A -o /etc/ipsec.secrets -j DENY
Tem este patch pra corrigir:
-------------------------------------------------------------
diff -u -r1.1.1.1 lidsconf.c
--- lidsconf.c 17 Feb 2004 06:20:27 -0000 1.1.1.1
+++ lidsconf.c 20 Feb 2004 05:29:07 -0000
@@ -802,7 +802,7 @@
exit_error(2,"you must define the default rules for object
files");
}
/* if current type have less persmission of defualt _rule */
- if( type < default_rule ) {
+ if( type < default_rule && !sys_cap ) {
exit_error(2,"the type is less than default permssion, this rule is
useless"); }
}
------------------------------------------------------------
Acho que devemos testar algumas coisas antes de publicarmos,principalmente o que envolve seguranca.
Em todo caso valeu pelo artigo publicado, desperto meu interesse nesta ferramenta, to gostando muito dela.
PS. To rodando no 2.6.2 e ta indo.
Voltei, bom eu dei uma olha e vi que estas menssagens sao bugs...nao se deve usar o lidstools-0.5.1 e lidstools-0.5.2 com kernel 2.4.24, nesta ja aproveitei e instalei o kernel 2.6.2 com o lids-2.0.4pre1-2.6.2 e lidstools-0.4 (recomendado), pelo fato desta versao ter uns lances de bloquear worms em HTTP, FTP, POP3, mas ta em desenvolvimento...alguem aqui esta usando, caso esteja, ta dando muito pau?
Se colocar assim funciona:
lidsconf -A -o /etc/ipsec.secrets -j DENY
lidsconf -A -o /etc -j READONLY
Se inverter nao rola:
lidsconf -A -o /etc -j READONLY
lidsconf -A -o /etc/ipsec.secrets -j DENY
Tem este patch pra corrigir:
-------------------------------------------------------------
diff -u -r1.1.1.1 lidsconf.c
--- lidsconf.c 17 Feb 2004 06:20:27 -0000 1.1.1.1
+++ lidsconf.c 20 Feb 2004 05:29:07 -0000
@@ -802,7 +802,7 @@
exit_error(2,"you must define the default rules for object
files");
}
/* if current type have less persmission of defualt _rule */
- if( type < default_rule ) {
+ if( type < default_rule && !sys_cap ) {
exit_error(2,"the type is less than default permssion, this rule is
useless"); }
}
------------------------------------------------------------
Acho que devemos testar algumas coisas antes de publicarmos,principalmente o que envolve seguranca.
Em todo caso valeu pelo artigo publicado, desperto meu interesse nesta ferramenta, to gostando muito dela.
PS. To rodando no 2.6.2 e ta indo.
[5] Comentário enviado por y2h4ck em 23/02/2004 - 01:54h
CopyLeft se vc pudesse me adicionar em seu icq para conversarmos melhor sobre o LIDS... ficarei muito grato obrigado :)
CopyLeft se vc pudesse me adicionar em seu icq para conversarmos melhor sobre o LIDS... ficarei muito grato obrigado :)
[6] Comentário enviado por y2h4ck em 25/02/2004 - 17:41h
A proposito nao tive bug nenhum em minha instalacao creio que seria mais interessante reinstalar pq deve ter dado algum problema por ai ... aqui ele esta funcionando perfeitamente num servidor de missao critica com mais de 200 dias de Uptime ... portanto meu amigo ... antes de vc vir falar para mim testar algumas coisas ... acho melhor VC ver se esta fazendo a coisa direito ...
mas obrigado pelo post ate mais :)
A proposito nao tive bug nenhum em minha instalacao creio que seria mais interessante reinstalar pq deve ter dado algum problema por ai ... aqui ele esta funcionando perfeitamente num servidor de missao critica com mais de 200 dias de Uptime ... portanto meu amigo ... antes de vc vir falar para mim testar algumas coisas ... acho melhor VC ver se esta fazendo a coisa direito ...
mas obrigado pelo post ate mais :)
[7] Comentário enviado por Copyleft em 26/02/2004 - 00:03h
Sem duvida nao eh aqui o erro, eh um bug, tanto que se vc perceber o patch foi escrito no dia idsconf.c 20 Feb 2004 05:29:07 , nao teria como ter sido eu que escrevi, sendo que instalei no dia 22, quem afirma que eh um bug eh o responsavel como segue:
It is a bug..try following patch
------------------------- cut here ---------------------------------------------------
diff -u -r1.1.1.1 lidsconf.c
--- lidsconf.c 17 Feb 2004 06:20:27 -0000 1.1.1.1
+++ lidsconf.c 20 Feb 2004 05:29:07 -0000
@@ -802,7 +802,7 @@
exit_error(2,"you must define the default rules for object
files");
}
/* if current type have less persmission of defualt _rule */
- if( type < default_rule ) {
+ if( type < default_rule && !sys_cap ) {
exit_error(2,"the type is less than default permssion, this rule is
useless"); }
}
---------------------- cut here -----------------------------------------------------------
The problem is, this checking should only performance on all the acl with a "SUBJECT", for
other acl without a "SUBJECT", you can do any thing you want..:-).
Thanks for reporting the bug! It will be release in next version.
Huagang
Desculpe se pareceu que quis desprestigiar seu trabalho, se vc diz que nao teve problemas acredito, nao uso icq por isso nao entrei em contato.
Sem duvida nao eh aqui o erro, eh um bug, tanto que se vc perceber o patch foi escrito no dia idsconf.c 20 Feb 2004 05:29:07 , nao teria como ter sido eu que escrevi, sendo que instalei no dia 22, quem afirma que eh um bug eh o responsavel como segue:
It is a bug..try following patch
------------------------- cut here ---------------------------------------------------
diff -u -r1.1.1.1 lidsconf.c
--- lidsconf.c 17 Feb 2004 06:20:27 -0000 1.1.1.1
+++ lidsconf.c 20 Feb 2004 05:29:07 -0000
@@ -802,7 +802,7 @@
exit_error(2,"you must define the default rules for object
files");
}
/* if current type have less persmission of defualt _rule */
- if( type < default_rule ) {
+ if( type < default_rule && !sys_cap ) {
exit_error(2,"the type is less than default permssion, this rule is
useless"); }
}
---------------------- cut here -----------------------------------------------------------
The problem is, this checking should only performance on all the acl with a "SUBJECT", for
other acl without a "SUBJECT", you can do any thing you want..:-).
Thanks for reporting the bug! It will be release in next version.
Huagang
Desculpe se pareceu que quis desprestigiar seu trabalho, se vc diz que nao teve problemas acredito, nao uso icq por isso nao entrei em contato.
[8] Comentário enviado por removido em 15/12/2006 - 07:15h
Legal seu artigo, só não concordei com o título. O LIDS é uma ótima ferramenta que pode até fazer um sistema extremamente seguro, mas com as regras que você colocou no artigo, não achei o artigo corresponde com o título. Mas de qualquer modo parabéns por esse artigo e pelo seus artigos disponibilizados no site do LIDS. Principalmete pela tradução do artigo feito pelo criador do LIDS!
Legal seu artigo, só não concordei com o título. O LIDS é uma ótima ferramenta que pode até fazer um sistema extremamente seguro, mas com as regras que você colocou no artigo, não achei o artigo corresponde com o título. Mas de qualquer modo parabéns por esse artigo e pelo seus artigos disponibilizados no site do LIDS. Principalmete pela tradução do artigo feito pelo criador do LIDS!
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Atenção a quem posta conteúdo de dicas, scripts e tal (1)
Artigos
Manutenção de sistemas Linux Debian e derivados com apt-get, apt, aptitude e dpkg
Melhorando o tempo de boot do Fedora e outras distribuições
Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46
Dicas
Como Atualizar Fedora 39 para 40
Instalar Google Chrome no Debian e derivados
Consertando o erro do Sushi e Wayland no Opensuse Leap 15
Instalar a última versão do PostgreSQL no Lunix mantendo atualizado
Flathub na sua distribuição Linux e comandos básicos de gerenciamento
Tópicos
Lançado Ubuntu 24.04 Final (3)
iso de sistema 32 bit em atividade (10)
ASRock H310CM-HG4 vs Linux (15)
Top 10 do mês
-
Xerxes
1° lugar - 74.612 pts -
Fábio Berbert de Paula
2° lugar - 59.703 pts -
Clodoaldo Santos
3° lugar - 46.240 pts -
Buckminster
4° lugar - 27.413 pts -
Sidnei Serra
5° lugar - 26.958 pts -
Daniel Lara Souza
6° lugar - 18.240 pts -
Mauricio Ferrari
7° lugar - 17.750 pts -
Alberto Federman Neto.
8° lugar - 17.777 pts -
Diego Mendes Rodrigues
9° lugar - 15.938 pts -
edps
10° lugar - 15.119 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
