Copyright© 1997 Hugo Cisneiros, hugo@netdados.com.br
Versão 3.3

---

Copyright 1994-1997 Pangéia Informática Ltda
All commercial Rights reserved

[Planejamento] [Usuários/Senhas] [Root] [Sistema de Arquivos] [Contas de Usuários] [Dados]
[Arquivos de logs] [Ameaças] [Ameaças via Rede] [Segurança em Roteadores]

---

• Planejamento:
  • Identifique o que você precisa protejer
  • Escolha as prioridades pra segurança
  • Especifique normas para emergencias
  • Eduque seus usuários

• Usuários/Senhas
  • Certifique-se que cada usuário tenha uma conta individual
  • Confirme se cada usuário possui senha
  • Verifique se sua instalação pode rejeitar senhas com menos de 6 caracteres
  • Consiga e rode programas que tentam achar senhas frágeis. (Crack, Cracklib)
  • Considere a possibilidade de usar programas que geram senhas.
  • Nunca transmita senhas por telefone ou e-mail.
  • Certifique-se que o arquivo de senhas só pode ser lido pelo "root".
  • Considere a possibilidade de trocar as senhas em intervalos regulares.

• Root
  • Iniba a entrada do "root" de qualquer terminal (deixe, no máximo, a console).
  • Entre com sua conta comum e então use "su" para tornar-se "root".

• Sistema de Arquivos
  • Procure por programas que tenham SUID/SGID ligados.
  • Procure por arquivos com permissão para gravação, que são disparados por alguma ferramenta específica (.exrc, .profile, .pinerc, .kshrc, .login, /etc/sendmail.cf, /etc/profile, etc)

• Contas de Usuários
  • Remova contas inativas.
  • Use rksh ou rsh quando necessário.
  • Certifique-se que todas as contas tem senha.
  • Evite criar contas pra rodar um único programa.
  • Jamais crie outras contas com id 0 (mesmo do root).

• Dados
  • Faça cópias de segurança regularmente.
  • Certifique-se que as cópias poderão ser recuperadas numa emergência.
  • Use mecanismos de veficação de integridade de programas e arquivos. (por exemplo checksum md4/5 ou pdf)
  • Certifique-se que os sistemas de arquivos tem as permissões corretas.
  • Não habilite SUID/SGID em scripts (shell ou perl)
  • Elimine as permissões de gravação nos "devices" dos terminais, "pseudo terminais" principalmente.

  • Certifique-se que os arquivos começados com "." não tem permissão pra gravação por ninguem.
  • Remova todos os shells (csh, zsh, ash, etcsh) que não estiver usando.
  • Considere rodar regularmente programas que identificam falhas de segurança no Unix, tais como COPS, Tiger, Medusa, etc.
  • Guarde uma listagem dos programas que tem SUID/SGID e compare-a com cada nova verificação.
  • Remova TODOS os utilitários que não forem necessários na máquina, tais como: cc, perl, awk, etc.

• Arquivos de Logs
  • Rode o comando "last" e "who /var/adm/wtmp" regularmente.
  • Verifique os arquivos de auditoria regularmente
  • Verifique o arquivo sulog.
  • Verifique os arquivo gerados pelos Daemos com:
    xferlog (ftpd) syslog (syslogd) messages (syslogd) access_log (httpd)

OBS: o /etc/syslog.conf permite uma grande varideade de possibilidades de log, e de arquivos para contê-los

• Ameaças
  • Nunca instale software desconhecido, sem os fontes para exame.
  • Evite usar scripts com SUID/SGID, examine data e permissões.
  • Jamais coloque "." na variável de ambiente PATH do "root".
  • Vefique periodicamente os arquivos de rc e data de modificação de programas.
  • Examine a variável de ambiente PATH de todos os scripts que for executar.
  • Garanta que nenhum programa com SUID/SGID permita saída para o shell.
  • Examine os programas que permitem passar o usuário com parâmetro.

• Ameaças via Rede
  • Examine o /etc/hosts.equiv e todos os .rhosts, caso você deseje usar os comandos "r" (rlogin, remsh (rsh), rexec, rcp, retc :-)).
    NOTA: este recurso é altamente condenado, no aspecto segurança.
  • Desabilite TODOS os recursos de rede que NÃO estiver usando.
  • Substitua (se quiser manter habilitado) o fingerd, por uma versão segura.
  • Verifique (e instale) a versão mais recente do Sendmail.
  • Desabilite, se possível, o serviço de TFTP. (Candidato a serviço mais inseguro)
  • Certifique-se que a versão do FTP anonymous é segura.
  • Jamais coloque o mesmo arquivo /etc/passwd no diretório do ftp anonymous.
  • Jamais crie diretórios cujo dono seja o usuário "ftp" (serviço FTP).
  • Desabilite o serviço de NFS para maquinas remotas.
  • Use um POPD que tenha arquivo de senhas próprio, ou ao menos permita desconexào após n (poucas) tentativas.
  • Remova o programa phf do diretório .../httpd/cgi-bin. (serviço http).
  • Remova também os programas test-cgi e nph-test-cgi diretório .../httpd/cgi-bin. (serviço http).
  • Jamais coloque algum interpretador (perl, csh, ksh, etc) no diretório .../httpd/cgi-bin (serviço http).
  • Não crie links que usem o perl ou shell para disparar programas.

• Segurança em Roteadores
  • Troque ou cadastre uma senha no roteador antes de ligado definitivamente `a Internet, seguindo as mesmas regras para senhas de usuário.
  • Desabilite, se possível, o acesso remoto ao 'login' do roteador.
  • Desabilite os servicos internos (chargen, echo, etc).
  • No caso de roteadores Cyclades, troque não só a senha de fábrica como também o nome do superusuário.
  • Desabilite todos os protocolos desnecessários (RIP, BGP, etc).

---

Voltar ao Índice principal