Copyright© 1997 Hugo Cisneiros, hugo@netdados.com.br
Versão 3.3

Copyright 1994-1997 Pangéia Informática Ltda
All commercial Rights reserved
[Planejamento]
[Usuários/Senhas]
[Root]
[Sistema de Arquivos]
[Contas de Usuários]
[Dados]
[Arquivos de logs]
[Ameaças]
[Ameaças via Rede]
[Segurança em Roteadores]
- Identifique o que você precisa protejer
- Escolha as prioridades pra segurança
- Especifique normas para emergencias
- Eduque seus usuários
- Certifique-se que cada usuário tenha uma conta individual
- Confirme se cada usuário possui senha
- Verifique se sua instalação pode rejeitar senhas com menos de 6 caracteres
- Consiga e rode programas que tentam achar senhas frágeis. (Crack, Cracklib)
- Considere a possibilidade de usar programas que geram senhas.
- Nunca transmita senhas por telefone ou e-mail.
- Certifique-se que o arquivo de senhas só pode ser lido pelo "root".
- Considere a possibilidade de trocar as senhas em intervalos regulares.
- Iniba a entrada do "root" de qualquer terminal (deixe, no máximo, a console).
- Entre com sua conta comum e então use "su" para tornar-se "root".
- Procure por programas que tenham SUID/SGID ligados.
- Procure por arquivos com permissão para gravação, que são disparados
por alguma ferramenta específica (.exrc, .profile, .pinerc, .kshrc,
.login, /etc/sendmail.cf, /etc/profile, etc)
- Remova contas inativas.
- Use rksh ou rsh quando necessário.
- Certifique-se que todas as contas tem senha.
- Evite criar contas pra rodar um único programa.
- Jamais crie outras contas com id 0 (mesmo do root).
- Faça cópias de segurança regularmente.
- Certifique-se que as cópias poderão ser recuperadas numa emergência.
- Use mecanismos de veficação de integridade de programas e arquivos.
(por exemplo checksum md4/5 ou pdf)
- Certifique-se que os sistemas de arquivos tem as permissões corretas.
- Não habilite SUID/SGID em scripts (shell ou perl)
- Elimine as permissões de gravação nos "devices" dos terminais, "pseudo
terminais" principalmente.
- Certifique-se que os arquivos começados com "." não tem permissão pra gravação
por ninguem.
- Remova todos os shells (csh, zsh, ash, etcsh) que não estiver usando.
- Considere rodar regularmente programas que identificam falhas de segurança
no Unix, tais como COPS, Tiger, Medusa, etc.
- Guarde uma listagem dos programas que tem SUID/SGID e compare-a com cada
nova verificação.
- Remova TODOS os utilitários que não forem necessários na máquina, tais como:
cc, perl, awk, etc.
- Rode o comando "last" e "who /var/adm/wtmp" regularmente.
- Verifique os arquivos de auditoria regularmente
- Verifique o arquivo sulog.
- Verifique os arquivo gerados pelos Daemos com:
xferlog (ftpd)
syslog (syslogd)
messages (syslogd)
access_log (httpd)
OBS: o /etc/syslog.conf permite uma grande varideade de possibilidades de log,
e de arquivos para contê-los
- Nunca instale software desconhecido, sem os fontes para exame.
- Evite usar scripts com SUID/SGID, examine data e permissões.
- Jamais coloque "." na variável de ambiente PATH do "root".
- Vefique periodicamente os arquivos de rc e data de modificação de programas.
- Examine a variável de ambiente PATH de todos os scripts que for executar.
- Garanta que nenhum programa com SUID/SGID permita saída para o shell.
- Examine os programas que permitem passar o usuário com parâmetro.
- Examine o /etc/hosts.equiv e todos os .rhosts, caso você deseje usar
os comandos "r" (rlogin, remsh (rsh), rexec, rcp, retc :-)).
NOTA: este recurso é altamente condenado, no aspecto segurança.
- Desabilite TODOS os recursos de rede que NÃO estiver usando.
- Substitua (se quiser manter habilitado) o fingerd, por uma versão segura.
- Verifique (e instale) a versão mais recente do Sendmail.
- Desabilite, se possível, o serviço de TFTP. (Candidato a serviço mais inseguro)
- Certifique-se que a versão do FTP anonymous é segura.
- Jamais coloque o mesmo arquivo /etc/passwd no diretório do ftp anonymous.
- Jamais crie diretórios cujo dono seja o usuário "ftp" (serviço FTP).
- Desabilite o serviço de NFS para maquinas remotas.
- Use um POPD que tenha arquivo de senhas próprio, ou ao menos permita desconexào
após n (poucas) tentativas.
- Remova o programa phf do diretório .../httpd/cgi-bin. (serviço http).
- Remova também os programas test-cgi e nph-test-cgi diretório .../httpd/cgi-bin. (serviço http).
- Jamais coloque algum interpretador (perl, csh, ksh, etc) no diretório
.../httpd/cgi-bin (serviço http).
- Não crie links que usem o perl ou shell para disparar programas.
- Troque ou cadastre uma senha no roteador antes de ligado definitivamente
`a Internet, seguindo as mesmas regras para senhas de usuário.
- Desabilite, se possível, o acesso remoto ao 'login' do roteador.
- Desabilite os servicos internos (chargen, echo, etc).
- No caso de roteadores Cyclades, troque não só
a senha de fábrica como também o nome do superusuário.
- Desabilite todos os protocolos desnecessários (RIP, BGP, etc).
Voltar ao Índice principal