--- Maur�cio <[EMAIL PROTECTED]> wrote:
> Oi, pessoal,
>
> N�o entendo muito de seguran�a de computadores, mas assumi (sem
> ter
> lido isso em lugar nenhum, devo dizer) que instalando o Debian em
> casa
> eu poderia me sentir mais ou menos seguro j� que a instala��o do
> sarge
> n�o iria deixar portas de rede abertas sem que eu solicitasse.
> Gostaria
> de saber se eu assumi corretamente.
Com certeza voc� est� mais seguro do que estaria com os sistemas
produzidos em Redmond, mas isto n�o significa que voc� est� seguro.
Se voc� n�o instalou nenhum servi�o, provavelmente n�o h� portas
abertas. Mas n�o se sinta seguro.
Voc� com certeza precisa de um firewall habilitado e bem
configurado.
> � possivel que meu computador
> tenha
> portas de rede abertas para o "p�blico" sem que eu tenha solicitado
> isso
> explicitamente?
Sim, � poss�vel. Sempre pode haver um bug, ou alguma desaten��o.
> Se � possivel, como fa�o para fechar todas as portas
> de
> rede (meu micro � de uso dom�stico, e eu n�o tenho necessidade de
> acess�-lo de outros lugares mesmo via ssh, ent�o acho que deixar
> todas
> as portas fechadas � uma boa id�ia)?
Voc� precisa de um firewall para fechar todas as portas. E isto �
sim uma excelente id�ia. H� um princ�pio fundamental de seguran�a
chamado de "menor privil�gio", ou seja, s� permita o que for
estritamente necess�rio e pro�ba todo o resto.
Se tiver curiosidade, fa�a o teste que descreverei abaixo para
verificar se a instala��o que voc� fez tem alguma porta aberta. Se
n�o, mais abaixo h� um script usando iptables que dar� uma prote��o
razo�vel � sua m�quina.
Entre no site www.grc.com/default.htm, clique em ShieldsUP e depois
no link Proceed. Clique no bot�o Common Ports para verificar as portas
abertas.
Abaixo segue um script para iniciar o firewall a cada boot.
Coloque-o em /etc/init.d/, instale o pacote rcconf e marque o script
para ser iniciado durante o boot.
#! /bin/sh
set -e
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
DESC="firewall daemon"
NAME=firewall
DAEMON=/usr/sbin/$NAME
SCRIPTNAME=/etc/init.d/$NAME
test -x $DAEMON || exit 0
# Function that starts the daemon/service.
d_start() {
#start-stop-daemon --start --quiet --pidfile $PIDFILE \
# --exec $DAEMON
/usr/sbin/firewall
}
# Function that stops the daemon/service.
d_stop() {
/sbin/iptables -F
}
d_reload() {
/usr/sbin/firewall
}
case "$1" in
start)
echo -n "Starting $DESC: $NAME"
d_start
echo "."
;;
stop)
echo -n "Stopping $DESC: $NAME"
d_stop
echo "."
;;
#reload)
restart|force-reload)
echo -n "Restarting $DESC: $NAME"
d_stop
sleep 1
d_start
echo "."
;;
*)
echo "Usage: $SCRIPTNAME {start|stop|restart|force-reload}" >&2
exit 1
;;
esac
exit 0
Abaixo segue o script para o firewall. Coloque-o em /usr/sbin.
#!/bin/bash
# Limpa as regras, se existirem.
/sbin/iptables -F
# Pol�tica default: permite passar apenas o explicitamente liberado.
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP
# Todo tr�fego de sa�da � autorizado e o estado guardado.
/sbin/iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j
ACCEPT
# O tr�fego de entrada referente a conexoes abertas a partir da rede
# interna para a internet � permitido.
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Abre para a interface de loopback
iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
# Cria um log de todos os pacotes rejeitados.
/sbin/iptables -A INPUT -j LOG --log-prefix "Firewall: "
Inicie o firewall e fa�a o teste que sugeri acima para verificar se
todas as portas est�o realmente fechadas.
E por �ltimo, mas n�o menos importante, mantenha o sistema
atualizado. Para tal, execute apt-get update e apt-get dist-upgrade
periodicamente (O intervalo de tempo depende da sua banda e do seu
n�vel de paran�ia).
__________________________________________________
Converse com seus amigos em tempo real com o Yahoo! Messenger
http://br.download.yahoo.com/messenger/
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
