Parabéns Jean! Você deu uma exemplo perfeito do conceito de "compartilhar" conhecimentos. Sou apenas um usuários comum da lista, e não tenho intençao de gerar críticas e nem tampouco a pretensão de ditar parâmetros para o andamento da mesma. Mas o que vi, merece ser elogiado: você respondeu a dúvida do companheiro Mauricio, com total clareza e simplicidade. Normalmente as respostas que temos visto na lista, em relação a perguntas genéricas e/ou conceituais são: "vá ao google", "leia os man"... e outras respostas que não ajudam em nada. E vc demonstrou ter bom conhecimento (sem nenhum estrelismo), e o compartilhou com muita paciência e boa vontade. A sua iniciativa possibilitará ao Mauricio dar seus primeiros passos, e quem sabe se desenvolver no mundo do software livre e ajudar a consolidá-lo. Que seu exemplo seja seguido por todos nós, usuários dessa lista. Julio Lopez
----- Original Message ----- From: "Jean Silva" <[EMAIL PROTECTED]> To: <debian-user-portuguese@lists.debian.org> Sent: Tuesday, April 05, 2005 9:08 PM Subject: Re: Portas de rede abertas? > > --- Maurício <[EMAIL PROTECTED]> wrote: > > Oi, pessoal, > > > > Não entendo muito de segurança de computadores, mas assumi (sem > > ter > > lido isso em lugar nenhum, devo dizer) que instalando o Debian em > > casa > > eu poderia me sentir mais ou menos seguro já que a instalação do > > sarge > > não iria deixar portas de rede abertas sem que eu solicitasse. > > Gostaria > > de saber se eu assumi corretamente. > Com certeza você está mais seguro do que estaria com os sistemas > produzidos em Redmond, mas isto não significa que você está seguro. > Se você não instalou nenhum serviço, provavelmente não há portas > abertas. Mas não se sinta seguro. > Você com certeza precisa de um firewall habilitado e bem > configurado. > > > É possivel que meu computador > > tenha > > portas de rede abertas para o "público" sem que eu tenha solicitado > > isso > > explicitamente? > > Sim, é possível. Sempre pode haver um bug, ou alguma desatenção. > > > Se é possivel, como faço para fechar todas as portas > > de > > rede (meu micro é de uso doméstico, e eu não tenho necessidade de > > acessá-lo de outros lugares mesmo via ssh, então acho que deixar > > todas > > as portas fechadas é uma boa idéia)? > > Você precisa de um firewall para fechar todas as portas. E isto é > sim uma excelente idéia. Há um princípio fundamental de segurança > chamado de "menor privilégio", ou seja, só permita o que for > estritamente necessário e proíba todo o resto. > Se tiver curiosidade, faça o teste que descreverei abaixo para > verificar se a instalação que você fez tem alguma porta aberta. Se > não, mais abaixo há um script usando iptables que dará uma proteção > razoável à sua máquina. > Entre no site www.grc.com/default.htm, clique em ShieldsUP e depois > no link Proceed. Clique no botão Common Ports para verificar as portas > abertas. > Abaixo segue um script para iniciar o firewall a cada boot. > Coloque-o em /etc/init.d/, instale o pacote rcconf e marque o script > para ser iniciado durante o boot. > #! /bin/sh > > set -e > > PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin > DESC="firewall daemon" > NAME=firewall > DAEMON=/usr/sbin/$NAME > SCRIPTNAME=/etc/init.d/$NAME > > test -x $DAEMON || exit 0 > > # Function that starts the daemon/service. > d_start() { > #start-stop-daemon --start --quiet --pidfile $PIDFILE \ > # --exec $DAEMON > /usr/sbin/firewall > } > > # Function that stops the daemon/service. > d_stop() { > /sbin/iptables -F > } > > d_reload() { > /usr/sbin/firewall > } > > case "$1" in > start) > echo -n "Starting $DESC: $NAME" > d_start > echo "." > ;; > stop) > echo -n "Stopping $DESC: $NAME" > d_stop > echo "." > ;; > #reload) > restart|force-reload) > echo -n "Restarting $DESC: $NAME" > d_stop > sleep 1 > d_start > echo "." > ;; > *) > echo "Usage: $SCRIPTNAME {start|stop|restart|force-reload}" >&2 > exit 1 > ;; > esac > > exit 0 > > Abaixo segue o script para o firewall. Coloque-o em /usr/sbin. > #!/bin/bash > > # Limpa as regras, se existirem. > /sbin/iptables -F > > # Política default: permite passar apenas o explicitamente liberado. > /sbin/iptables -P INPUT DROP > /sbin/iptables -P OUTPUT DROP > /sbin/iptables -P FORWARD DROP > > # Todo tráfego de saída é autorizado e o estado guardado. > /sbin/iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j > ACCEPT > > # O tráfego de entrada referente a conexoes abertas a partir da rede > # interna para a internet é permitido. > /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > > # Abre para a interface de loopback > iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT > # Cria um log de todos os pacotes rejeitados. > /sbin/iptables -A INPUT -j LOG --log-prefix "Firewall: " > > Inicie o firewall e faça o teste que sugeri acima para verificar se > todas as portas estão realmente fechadas. > E por último, mas não menos importante, mantenha o sistema > atualizado. Para tal, execute apt-get update e apt-get dist-upgrade > periodicamente (O intervalo de tempo depende da sua banda e do seu > nível de paranóia). > > > __________________________________________________ > Converse com seus amigos em tempo real com o Yahoo! Messenger > http://br.download.yahoo.com/messenger/ > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > > -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]