Vulnerabilidade e segurança no Linux
Este artigo tem a proposta de levantar a discussão sobre as vulnerabilidades do sistema operacional Linux. Mesmo sabendo-se que o Linux é o sistema operacional mais seguro que existe, fica o ALERTA: O Linux pode ser tão vulnerável quanto um Windows. Esta leitura é indicada principalmente para quem está iniciando. Espero que seja bastante produtiva.
[ Hits: 83.493 ]
Por: Dornelles Vissotto Junior em 27/09/2004
Como diminuir a vulnerabilidade
Um sistema bem administrado diminui enormemente a probabilidade de invasão. Segundo as vulnerabilidades aqui discutidas, vamos dar algumas dicas de segurança:
O próprio site Viva o Linux oferece uma série de artigos, configurações e dicas para deixar o seu sistema Linux bem mais robusto. Utilize a ferramenta de busca e divirta-se, ou melhor, proteja-se.
- BIND. Procure adotar uma política de mascaramento das informações.
- RPC. Use o serviço somente se necessário.
- APACHE. Ajuste bem as configurações. Habilite somente scripts e programas com destino correto e que não comprometam de forma alguma o sistema.
- Contas de usuários. Evite criar contas de usuários em demasia, principalmente contas para acesso multiusuário. Adote uma política de senhas seguras e jamais permita o acesso a serviços e contas de usuários SEM senha.
- Serviços ASCII. Toda comunicação pode e deve ser feita de forma encriptada. Arquivos ASCII são muito vulneráveis e todos podem ter acesso ao seu conteúdo facilmente.
- Sendmail. Atualize e configure corretamente. De preferência, gaste um pouco de tempo e implemente outro servidor.
- SNMP. Não esqueça de estabelecer as regras de utilização do serviço. Não use se não for necessário.
- SSH. Muitíssimo bom, mas configure-o da forma mais restrita possível. Restrinja o acesso somente a usuários do sistema. Se possível, restrinja o acesso ao X. Controle o acesso às chaves privadas. Bloqueie passphrases em branco, elas se tornam uma arma na mão dos "hackers".
- Compartilhamento de rede. Compartilhe somente o que for necessário e restrinja ao máximo o acesso dos usuários ao compartilhamento. De preferência use alguma ferramenta de autenticação.
- SSL's restritivas é a melhor opção quando não puder ficar sem elas.
O próprio site Viva o Linux oferece uma série de artigos, configurações e dicas para deixar o seu sistema Linux bem mais robusto. Utilize a ferramenta de busca e divirta-se, ou melhor, proteja-se.
Páginas do artigo
1. As maiores vulnerabilidades do Linux2. Como diminuir a vulnerabilidade
3. Dicas gerais de segurança
Outros artigos deste autor
Como elaborar perguntas para listas de discussão
Redes de comunicação sem fio (Wireless)
Placas NVIDIA com kernel 2.6.8
Configurando placa de som Sound Blaster Live!
Leitura recomendada
Implementação de WAF mod_security e integração com Graylog utilizando Filebeat e Logstash
Análise Passiva: Analisando seu tráfego de maneira segura
Nikto - Tutorial básico e avançado
Melhorando o nível de segurança com chflags
Comentários
[1] Comentário enviado por y2h4ck em 27/09/2004 - 10:39h
Primeiro:
"Mesmo sabendo-se que o Linux é o sistema operacional mais seguro que existe, fica o ALERTA: O Linux pode ser tão vulnerável quanto um Windows." isso esta longe de ser real, linux nao e o sistema mais seguro do mundo, principalmente se for comparado como OpenBSD que esta a mais de oito anos sem uma vulnerabilidade remota em sua instalação Default.
Outra coisa que vc passou e eu achei estranho foi o seguinte:
"Sendmail: tem tal vulnerabilidade ...
bind: tem tal vulnerabilidade... "
O que realmente não é assim... nao existem vulnerabilidades pré-definidas, as vulnerabilidades que entram em cena sao explorações muitas vezes de alto nivel, portanto não se pode prever determinada vulnerabilidade até que a mesma seja encontrada e documentada.
Creio que não existem passos para tornar um sistema mais seguro, a não realmente criar uma verdadeira mentalidade de segurança, e pensar com mais segurança. Deixar o sistema sempre atualizado é uma boa maneira de deixa-lo seguro, a questao nao e por quanto tempo, mas sim : ele esta apto a resistir quando uma falha surgir ??
Bom é meu ponto de vista :)
falow
Primeiro:
"Mesmo sabendo-se que o Linux é o sistema operacional mais seguro que existe, fica o ALERTA: O Linux pode ser tão vulnerável quanto um Windows." isso esta longe de ser real, linux nao e o sistema mais seguro do mundo, principalmente se for comparado como OpenBSD que esta a mais de oito anos sem uma vulnerabilidade remota em sua instalação Default.
Outra coisa que vc passou e eu achei estranho foi o seguinte:
"Sendmail: tem tal vulnerabilidade ...
bind: tem tal vulnerabilidade... "
O que realmente não é assim... nao existem vulnerabilidades pré-definidas, as vulnerabilidades que entram em cena sao explorações muitas vezes de alto nivel, portanto não se pode prever determinada vulnerabilidade até que a mesma seja encontrada e documentada.
Creio que não existem passos para tornar um sistema mais seguro, a não realmente criar uma verdadeira mentalidade de segurança, e pensar com mais segurança. Deixar o sistema sempre atualizado é uma boa maneira de deixa-lo seguro, a questao nao e por quanto tempo, mas sim : ele esta apto a resistir quando uma falha surgir ??
Bom é meu ponto de vista :)
falow
[2] Comentário enviado por dvissotto em 27/09/2004 - 11:27h
Bom, em primeiro lugar agradeço os comentários para o meu artigo "Vulnerabilidade e segurança no linux".
Houve um equívoco talvez quanto ao título do artigo, pois minha intenção estava longe de atrair "experts" na área de segurança. Por isto, este comentário é uma espécie de retratação.
O artigo destina-se aos aventureiros linux, que já não são poucos e estão inflacionando as listas de discussão querendo soluções rápidas e baratas para melhorarem a segunrança sem querer aprender muito. Logo, quando falo em o linux ser o sistema operacional mais seguro, estou falando dos sistemas operacionas "amigáveis", ou seja, aqueles que o usuário pode instalar e operar com uma certa facilidade.
Com relação as vulnerabilidades encontradas (bind, sendmail, etc...) são as reportadas no link de uma pesquisa realizada em 2003 e sem resultados atualizados ainda, logo, as vulnerabilidades FORAM reportadas nesta pesquisa e não pré-definidas ou previstas. Fazem parte de uma ESTATÍSTICA que é aqui comentada.
Concordo plenamente que a melhor política é criar uma mentalidade de segurança. Esta não se aprende passo-a-passo. É preciso experiência e conhecimento. Isto não é possível somente com um artigo sobre segurança. O que pretendi fazer foi criar alguns cuidados básicos para as pessoas menos pacientes que querem resultados rápidos.
Meu artigo NÃO apresenta uma solução de segurança para o sistema operacional linux, mas somente comentários sobre o assunto, válido, até certo nível de conhecimento em Sistemas Operacionais.
Obrigado.
Bom, em primeiro lugar agradeço os comentários para o meu artigo "Vulnerabilidade e segurança no linux".
Houve um equívoco talvez quanto ao título do artigo, pois minha intenção estava longe de atrair "experts" na área de segurança. Por isto, este comentário é uma espécie de retratação.
O artigo destina-se aos aventureiros linux, que já não são poucos e estão inflacionando as listas de discussão querendo soluções rápidas e baratas para melhorarem a segunrança sem querer aprender muito. Logo, quando falo em o linux ser o sistema operacional mais seguro, estou falando dos sistemas operacionas "amigáveis", ou seja, aqueles que o usuário pode instalar e operar com uma certa facilidade.
Com relação as vulnerabilidades encontradas (bind, sendmail, etc...) são as reportadas no link de uma pesquisa realizada em 2003 e sem resultados atualizados ainda, logo, as vulnerabilidades FORAM reportadas nesta pesquisa e não pré-definidas ou previstas. Fazem parte de uma ESTATÍSTICA que é aqui comentada.
Concordo plenamente que a melhor política é criar uma mentalidade de segurança. Esta não se aprende passo-a-passo. É preciso experiência e conhecimento. Isto não é possível somente com um artigo sobre segurança. O que pretendi fazer foi criar alguns cuidados básicos para as pessoas menos pacientes que querem resultados rápidos.
Meu artigo NÃO apresenta uma solução de segurança para o sistema operacional linux, mas somente comentários sobre o assunto, válido, até certo nível de conhecimento em Sistemas Operacionais.
Obrigado.
[3] Comentário enviado por androle em 27/09/2004 - 21:04h
Achei bem interessante. Para quem não é profissional do ramo e está iniciando é um artigo bem útil. E acho que até para quem é.
Indica onde começar a procurar, ou pesquisar. E a não ficar tranquilo com a instalação default. Se vc nem sabe o que está acontecendo na sua máquina, por que não tem idéia do que acontece, é difícil ter segurança.
Esse é o problema, e acho que a mentalidade do usuário médio tende a, muito lentamente, mudar com o tempo. Acho que com a popularização da banda larga e de máquinas sempre conectadas as pessoas começarão a ver ataques e invasões como algo mais próximo. Mais uma violência para atormentar o cidadão médio. E logo haverá pelo menos um interesse em saber mais. Do mesmo modo que não sou especialista em segurança pessoal e mesmo assim evito ruas escuras, coloco grades na janela, etc., com o tempo os usuários vão começar a pensar mais nisso em relação a computadores.
Saber que simplesmente instalar o Linux e ficar tranquilo não é suficiente é um bom começo. Tem de pelo menos saber o que pode desligar e o que não pode. Lembro que uma vez, quando usava RedHat ou Conectiva, não sabia o que podia desabilitar no ntsysv. E convenhamos, quem está iniciando e é usuário doméstico nem sabe onde começar a procurar informação sobre isso.
Por isso achei bom o seu artigo, indica onde começar a procurar entender, procurar saber o que são todas aquelas siglas no boot. :)
Leandro
Achei bem interessante. Para quem não é profissional do ramo e está iniciando é um artigo bem útil. E acho que até para quem é.
Indica onde começar a procurar, ou pesquisar. E a não ficar tranquilo com a instalação default. Se vc nem sabe o que está acontecendo na sua máquina, por que não tem idéia do que acontece, é difícil ter segurança.
Esse é o problema, e acho que a mentalidade do usuário médio tende a, muito lentamente, mudar com o tempo. Acho que com a popularização da banda larga e de máquinas sempre conectadas as pessoas começarão a ver ataques e invasões como algo mais próximo. Mais uma violência para atormentar o cidadão médio. E logo haverá pelo menos um interesse em saber mais. Do mesmo modo que não sou especialista em segurança pessoal e mesmo assim evito ruas escuras, coloco grades na janela, etc., com o tempo os usuários vão começar a pensar mais nisso em relação a computadores.
Saber que simplesmente instalar o Linux e ficar tranquilo não é suficiente é um bom começo. Tem de pelo menos saber o que pode desligar e o que não pode. Lembro que uma vez, quando usava RedHat ou Conectiva, não sabia o que podia desabilitar no ntsysv. E convenhamos, quem está iniciando e é usuário doméstico nem sabe onde começar a procurar informação sobre isso.
Por isso achei bom o seu artigo, indica onde começar a procurar entender, procurar saber o que são todas aquelas siglas no boot. :)
Leandro
[4] Comentário enviado por Xxoin em 29/09/2004 - 01:17h
Artigo muito bom. Bem argumentado e atendeu com sobra a proposta do autor...
Artigo muito bom. Bem argumentado e atendeu com sobra a proposta do autor...
[5] Comentário enviado por nico_di_mafre em 17/11/2004 - 16:46h
Interessante este artigo, pois mesmo com tanta segurança ñ custa nada se previnir um pouco mais!!!
Interessante este artigo, pois mesmo com tanta segurança ñ custa nada se previnir um pouco mais!!!
[6] Comentário enviado por wavemmx em 14/10/2005 - 11:02h
Sempre nos só criticamos o sistema da micro$oft. Só porque estamos com o Linux não quer dizer que estamos seguros (sempre ja vi aquela frase, "O linux é estável, versátil e seguro") e nós com a nossa ingenuidade esquecemos de atualizar o sistema, manter um firewall ativa e definir uma boa política de senhas e usar serviços seguros. O artigo é "show" me da mais motivo para eu ficar alerta
Sempre nos só criticamos o sistema da micro$oft. Só porque estamos com o Linux não quer dizer que estamos seguros (sempre ja vi aquela frase, "O linux é estável, versátil e seguro") e nós com a nossa ingenuidade esquecemos de atualizar o sistema, manter um firewall ativa e definir uma boa política de senhas e usar serviços seguros. O artigo é "show" me da mais motivo para eu ficar alerta
[7] Comentário enviado por ZX350 em 09/11/2005 - 10:11h
Que lavada, bom pra gente ter mais atenção na nossa rede, como disse o wavemmx "ñ é so pq estamos com o linux q estamos seguros". Vamos ficar espertos.
Que lavada, bom pra gente ter mais atenção na nossa rede, como disse o wavemmx "ñ é so pq estamos com o linux q estamos seguros". Vamos ficar espertos.
[8] Comentário enviado por sbarra em 23/11/2005 - 14:46h
Realmente para iniciantes, este artigo esta muito bom, pois alerta-os que um Linux não apenas instalar "netx=>next=>next" e pronto.
Sempre a necessidade de configura-lo adequadamente e principalmente mante-lo sempre atualizado.
Realmente para iniciantes, este artigo esta muito bom, pois alerta-os que um Linux não apenas instalar "netx=>next=>next" e pronto.
Sempre a necessidade de configura-lo adequadamente e principalmente mante-lo sempre atualizado.
[9] Comentário enviado por Penrral em 26/02/2006 - 14:24h
Caro Dornelles! Achei seu artigo muito bom... porém discordo de um ponto... não sobre você, mas sobre quem falow "O Sistema Operacional mais seguro é aquele que você mais domina." com certeza para garantir segurança em qualquer sistema é necessario ter o dominio do mesmo.
Mas tem um ponto que vai além do sistema operacional, a principal falha de todos os sistemas é humana "Usuario e/ou Administrador descomprometido com a segurança ou mal treinados", atitudes simples porém desconhecidas por muitos podem deixar qualquer sistema, muito mais seguros. Como treinar seu usuario e dar a ele uma cópia da cartilha de segurança do CERT.br.
Temos hoje um cenário preocupante onde muitos admin "acham-se DEUSES" e esquecem que o protagonista na segurança de sistemas é nosso "REI" ou as vezes "demoniozinho nascido das profundesas do inferno" rsrsrs :)... o USUARIO.
De nada vale voce ter um sistema muito bem configurado sem uma politica de segurança de qualidade satisfatória. E temos que nos lembrar sempre: "A pior politica de segurança é aquela que fica guardada dentro de uma gaveta e NÃO é de conhecimento comum de todos os envolvidos"
Um grande abraço
Penrral
Esta reportagem é muito interessante: http://www.cert.br/docs/reportagens/2005/2005-10-10.html
Caro Dornelles! Achei seu artigo muito bom... porém discordo de um ponto... não sobre você, mas sobre quem falow "O Sistema Operacional mais seguro é aquele que você mais domina." com certeza para garantir segurança em qualquer sistema é necessario ter o dominio do mesmo.
Mas tem um ponto que vai além do sistema operacional, a principal falha de todos os sistemas é humana "Usuario e/ou Administrador descomprometido com a segurança ou mal treinados", atitudes simples porém desconhecidas por muitos podem deixar qualquer sistema, muito mais seguros. Como treinar seu usuario e dar a ele uma cópia da cartilha de segurança do CERT.br.
Temos hoje um cenário preocupante onde muitos admin "acham-se DEUSES" e esquecem que o protagonista na segurança de sistemas é nosso "REI" ou as vezes "demoniozinho nascido das profundesas do inferno" rsrsrs :)... o USUARIO.
De nada vale voce ter um sistema muito bem configurado sem uma politica de segurança de qualidade satisfatória. E temos que nos lembrar sempre: "A pior politica de segurança é aquela que fica guardada dentro de uma gaveta e NÃO é de conhecimento comum de todos os envolvidos"
Um grande abraço
Penrral
Esta reportagem é muito interessante: http://www.cert.br/docs/reportagens/2005/2005-10-10.html
[10] Comentário enviado por linus black em 11/09/2006 - 06:12h
como sou novo no mundo linux eu deixo aqui uma sugestão...
criar um escript,ou um programa pre teste de instalação para verificar e sugerir modificações no sistema a ser instalado .
não sou muito bom ainda mas por ler tanto sobre linux e suas aplicações sei que e pocivel pois quem criou o linux pensava como eu nada e impossível para a vontade humana.
nota 10
como sou novo no mundo linux eu deixo aqui uma sugestão...
criar um escript,ou um programa pre teste de instalação para verificar e sugerir modificações no sistema a ser instalado .
não sou muito bom ainda mas por ler tanto sobre linux e suas aplicações sei que e pocivel pois quem criou o linux pensava como eu nada e impossível para a vontade humana.
nota 10
[11] Comentário enviado por kroz em 10/11/2006 - 15:20h
este artigo nao e so pra quem e "novato" ou aventureiro do linux....
si nao e tambem uma reprise pra quem ja eh xpert!, tem coisas q a gente esquece, ou nao da atencao... ingnoramos, as coisas nao sao bem asim como pensamos... o linux pode chegar a ser o OS mas vulneravel ainda q o Exemplo RuinDows... Galera somos "linuxistas" temos q deixar em alto a fama de melhor em seguranca... so pra lembrar de nossas obrigacoes como linux`user.
* este artigo e dez veio...
este artigo nao e so pra quem e "novato" ou aventureiro do linux....
si nao e tambem uma reprise pra quem ja eh xpert!, tem coisas q a gente esquece, ou nao da atencao... ingnoramos, as coisas nao sao bem asim como pensamos... o linux pode chegar a ser o OS mas vulneravel ainda q o Exemplo RuinDows... Galera somos "linuxistas" temos q deixar em alto a fama de melhor em seguranca... so pra lembrar de nossas obrigacoes como linux`user.
* este artigo e dez veio...
[12] Comentário enviado por math em 07/12/2006 - 12:23h
Parabéns pelo artigo, muito bom, alerta as pessoas que não exite sistema 100% perfeito e invulneravel.
Parabéns pelo artigo, muito bom, alerta as pessoas que não exite sistema 100% perfeito e invulneravel.
[13] Comentário enviado por Gilmar_GNU/Slack em 07/02/2007 - 19:45h
Parabens pelo artigo!
Pois e vero que todo sistema tem sua falha mais como o Windows ele nuam tem claro ao depender de cada usuário do sistema !
Parabens pelo artigo!
Pois e vero que todo sistema tem sua falha mais como o Windows ele nuam tem claro ao depender de cada usuário do sistema !
[14] Comentário enviado por diegoramos em 27/05/2008 - 12:39h
É sempre interessante incentivar o pessoal a desconfiar da sua própria segurança,meus parabens.
Abraço.
É sempre interessante incentivar o pessoal a desconfiar da sua própria segurança,meus parabens.
Abraço.
[15] Comentário enviado por loirojones em 03/03/2012 - 11:13h
Amigo.... esqueceste do essencial...política de segurança também é relacionada a educação dos funcionários da empresa para que não ocorra a chamada Engenharia Social.... outro caso...
mude a porta de acesso do seu ssh que por padrão é a 22
vc pode alterar no diretório vi /etc/ssh/sshd_config
mais uma dica ai reforçando a do colega....
valeu
Amigo.... esqueceste do essencial...política de segurança também é relacionada a educação dos funcionários da empresa para que não ocorra a chamada Engenharia Social.... outro caso...
mude a porta de acesso do seu ssh que por padrão é a 22
vc pode alterar no diretório vi /etc/ssh/sshd_config
mais uma dica ai reforçando a do colega....
valeu
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Melhorando o tempo de boot do Fedora e outras distribuições
Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46
E a guerra contra bots continua
Tradução do artigo do filósofo Gottfried Wilhelm Leibniz sobre o sistema binário
Conheça o firewall OpenGFW, uma implementação do (Great Firewall of China).
Dicas
Instalando o FreeOffice no LMDE 6
Anki: Remover Tags de Estilo HTML de Todas as Cartas
Colocando uma opção de redimensionamento de imagem no menu de contexto do KDE
Tópicos
Gentoo bane contribuições de código feitas com IA (7)
Ubuntu — tentando iniciar o windows? (3)
Failed to start Zabbix Server (1)
Top 10 do mês
-
Xerxes
1° lugar - 69.942 pts -
Fábio Berbert de Paula
2° lugar - 57.253 pts -
Clodoaldo Santos
3° lugar - 43.100 pts -
Supervisor dos Moderadores
4° lugar - 23.169 pts -
Sidnei Serra
5° lugar - 22.694 pts -
Daniel Lara Souza
6° lugar - 17.122 pts -
Mauricio Ferrari
7° lugar - 17.083 pts -
Alberto Federman Neto.
8° lugar - 17.079 pts -
Diego Mendes Rodrigues
9° lugar - 15.720 pts -
edps
10° lugar - 14.209 pts
Scripts
[Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse
[Shell Script] Script para criar certificados de forma automatizada no OpenVpn
[Shell Script] Conversor de vídeo com opção de legenda
[C/C++] BRT - Bulk Renaming Tool
[Shell Script] Criação de Usuarios , Grupo e instalação do servidor de arquivos samba
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
