--- Maurício <[EMAIL PROTECTED]> wrote: > Oi, pessoal, > > Não entendo muito de segurança de computadores, mas assumi (sem > ter > lido isso em lugar nenhum, devo dizer) que instalando o Debian em > casa > eu poderia me sentir mais ou menos seguro já que a instalação do > sarge > não iria deixar portas de rede abertas sem que eu solicitasse. > Gostaria > de saber se eu assumi corretamente. Com certeza você está mais seguro do que estaria com os sistemas produzidos em Redmond, mas isto não significa que você está seguro. Se você não instalou nenhum serviço, provavelmente não há portas abertas. Mas não se sinta seguro. Você com certeza precisa de um firewall habilitado e bem configurado.
> É possivel que meu computador > tenha > portas de rede abertas para o "público" sem que eu tenha solicitado > isso > explicitamente? Sim, é possível. Sempre pode haver um bug, ou alguma desatenção. > Se é possivel, como faço para fechar todas as portas > de > rede (meu micro é de uso doméstico, e eu não tenho necessidade de > acessá-lo de outros lugares mesmo via ssh, então acho que deixar > todas > as portas fechadas é uma boa idéia)? Você precisa de um firewall para fechar todas as portas. E isto é sim uma excelente idéia. Há um princípio fundamental de segurança chamado de "menor privilégio", ou seja, só permita o que for estritamente necessário e proíba todo o resto. Se tiver curiosidade, faça o teste que descreverei abaixo para verificar se a instalação que você fez tem alguma porta aberta. Se não, mais abaixo há um script usando iptables que dará uma proteção razoável à sua máquina. Entre no site www.grc.com/default.htm, clique em ShieldsUP e depois no link Proceed. Clique no botão Common Ports para verificar as portas abertas. Abaixo segue um script para iniciar o firewall a cada boot. Coloque-o em /etc/init.d/, instale o pacote rcconf e marque o script para ser iniciado durante o boot. #! /bin/sh set -e PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin DESC="firewall daemon" NAME=firewall DAEMON=/usr/sbin/$NAME SCRIPTNAME=/etc/init.d/$NAME test -x $DAEMON || exit 0 # Function that starts the daemon/service. d_start() { #start-stop-daemon --start --quiet --pidfile $PIDFILE \ # --exec $DAEMON /usr/sbin/firewall } # Function that stops the daemon/service. d_stop() { /sbin/iptables -F } d_reload() { /usr/sbin/firewall } case "$1" in start) echo -n "Starting $DESC: $NAME" d_start echo "." ;; stop) echo -n "Stopping $DESC: $NAME" d_stop echo "." ;; #reload) restart|force-reload) echo -n "Restarting $DESC: $NAME" d_stop sleep 1 d_start echo "." ;; *) echo "Usage: $SCRIPTNAME {start|stop|restart|force-reload}" >&2 exit 1 ;; esac exit 0 Abaixo segue o script para o firewall. Coloque-o em /usr/sbin. #!/bin/bash # Limpa as regras, se existirem. /sbin/iptables -F # Política default: permite passar apenas o explicitamente liberado. /sbin/iptables -P INPUT DROP /sbin/iptables -P OUTPUT DROP /sbin/iptables -P FORWARD DROP # Todo tráfego de saída é autorizado e o estado guardado. /sbin/iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT # O tráfego de entrada referente a conexoes abertas a partir da rede # interna para a internet é permitido. /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Abre para a interface de loopback iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT # Cria um log de todos os pacotes rejeitados. /sbin/iptables -A INPUT -j LOG --log-prefix "Firewall: " Inicie o firewall e faça o teste que sugeri acima para verificar se todas as portas estão realmente fechadas. E por último, mas não menos importante, mantenha o sistema atualizado. Para tal, execute apt-get update e apt-get dist-upgrade periodicamente (O intervalo de tempo depende da sua banda e do seu nível de paranóia). __________________________________________________ Converse com seus amigos em tempo real com o Yahoo! Messenger http://br.download.yahoo.com/messenger/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]