Re: Ferramentas para garantir a segurança
At 23:31 25/01/2002 -0200, Hélio Alexandre Lopes Loureiro wrote: Gostaria de saber o que vcs sugerem para avaliar a segurança de um linuxsoftware, checklist, etc... Isso pq estou montanto um servidor e gostaria de deixa-lo bem seguro. Troque para OpenBSD. Prefiro continuar com o Debian!!! :-P Me parece que não é tão simples. Não adianta instalar o sistema operacional dito o mais seguro, senão sabe-se usá-lo. A menos que o custo de aprendê-lo, compense o esforço. Uma coisa é procurar segurança, outra é facilidade. Dificilmente encontra-se ambos juntos. Até um windows pode ser extremamente seguro, só que isto exige muito conhecimento e tempo de preparação da máquina. Se vc que antecipar programas para deixar seu sistema seguro, OpenBSD é uma boa opção, mas nada impede de usar Windows/Debian/RedHat/Conectiva/FreeBSD/Solaris ou qualquer outro sistema. Agora achar que tornar um sistema seguro basta apenas um pacote de segurança, isto é ilusão. Não procuro por um pacote que me dê segurança e sim por metodos para poder implementear uma melhor segurança em meu sistema. Como segurança exige bastante tempo, conhecimento e estar sempre atualizado resolvi recorer a lista para ver o que vc's iriam sugerir... Os software que estão instalados estão atualizados, mas só isto não basta, estou implementando o IPTABLES e além disso gostaria de saber o que mais pode ser feito já que não sou um perito em segurança. De qualquer forma agradeço a ideia do OpenBSD mas como já disse vou ficar com o Debian. Já indicaram para mim o security-debian-howto e procurar por checklists, há mais alguma coisas que eu possa fazer? Obrigado, -- Tiago de Lima Bueno _ Do You Yahoo!? Get your free @yahoo.com address at http://mail.yahoo.com
Re: Ferramentas para garantir a segurança
Olah! Em Sab 26 Jan 2002 14:33, Tiago escreveu: snip | Não procuro por um pacote que me dê segurança e sim por | metodos para poder implementear uma melhor segurança em meu | sistema. Como segurança exige bastante tempo, conhecimento e estar | sempre atualizado resolvi recorer a lista para ver o que vc's iriam | sugerir... Bem... minha sugestao continua sendo instalar o harden. Explico abaixo o motivo. | Os software que estão instalados estão atualizados, mas só | isto não basta, estou implementando o IPTABLES e além disso | gostaria de saber o que mais pode ser feito já que não sou um | perito em segurança. De qualquer forma agradeço a ideia do OpenBSD | mas como já disse vou ficar com o Debian. hehe... tem gene que eh apaixonado pelo OpenBSD. Tudo bem!!! Eu sou pelo Debian. | Já indicaram para mim o security-debian-howto e procurar | por checklists, há mais alguma coisas que eu possa fazer? O howto eh uma fonte de informacoes importante. O autor do pacote harden levou ele em consideracao. Qto as checklists, eh isso que o harden faz. Ele conflita com pacotes que saum reconhecidamente inseguros e recomenda a instalacao dos mais seguros. Claro que toda a seguranca quem faz eh vc!!! MAs o harden eh um otimo auxilio. Imagine que vc tem o harden-clients instalado e dah um apt-get install telnet para instalar o cliente de telnet. O sistema vai avisar que isso acarretaria a desintalacao do pacote harden (porque um conflita com o outro). Automaticamente vc sabe que o cliente de telnet naum eh considerado seguro. []s Pablo -- Pablo Lorenzzoni (Spectra) [EMAIL PROTECTED] GnuPG Key ID 268A084D at search.keyserver.net Webpage: http://people.debian.org/~spectra/
Re: Ferramentas para garantir a segurança
On Sat, Jan 26, 2002 at 02:33:59PM -0200, Tiago wrote: At 23:31 25/01/2002 -0200, Hélio Alexandre Lopes Loureiro wrote: Gostaria de saber o que vcs sugerem para avaliar a segurança de um linuxsoftware, checklist, etc... Isso pq estou montanto um servidor e gostaria de deixa-lo bem seguro. Troque para OpenBSD. Prefiro continuar com o Debian!!! :-P Me parece que não é tão simples. Não adianta instalar o sistema operacional dito o mais seguro, senão sabe-se usá-lo. A menos que o custo de aprendê-lo, compense o esforço. Uma coisa é procurar segurança, outra é facilidade. Dificilmente encontra-se ambos juntos. Até um windows pode ser extremamente seguro, só que isto exige muito conhecimento e tempo de preparação da máquina. Se vc que antecipar programas para deixar seu sistema seguro, OpenBSD é uma boa opção, mas nada impede de usar Windows/Debian/RedHat/Conectiva/FreeBSD/Solaris ou qualquer outro sistema. Agora achar que tornar um sistema seguro basta apenas um pacote de segurança, isto é ilusão. Não procuro por um pacote que me dê segurança e sim por metodos para poder implementear uma melhor segurança em meu sistema. Como segurança exige bastante tempo, conhecimento e estar sempre atualizado resolvi recorer a lista para ver o que vc's iriam sugerir... Os software que estão instalados estão atualizados, mas só isto não basta, estou implementando o IPTABLES e além disso gostaria de saber o que mais pode ser feito já que não sou um perito em segurança. De qualquer forma agradeço a ideia do OpenBSD mas como já disse vou ficar com o Debian. Já indicaram para mim o security-debian-howto e procurar por checklists, há mais alguma coisas que eu possa fazer? Comprei o Hacker Linux Exposed e achei útil, obrigatório. O manual Rute Linux também. E o Foca Linux, obrigatório. Instalar softwares de verificação de integridade. Criar __bons hábitos__. ... Eu acho que depende também do tipo de investimento que você quer fazer, se quer botar um computador só para firewall, se vai criar uma zona desmilitarizada, etc. Eu realmente não sou a pessoa certa, mas são algumas idéias, sei lá. [ ]s Henry
Re: Ferramentas para garantir a segurança
Ola, Gostaria de lembrar a todos que a kernel Linux nao tem como principal objetivo a seguranca! Ja o OpenBSD visa esse fim.Eh possivel sim, deixar a distribuicao Debian do GNU/Linux num nivel de seguranca satisfatorio, mas eu recomendo a adicao de patches a kernel do sistema.Cito o grSecurity(www.grsecurity.net) como opcao. Logico q os pacotes -harden da Debian irao auxiliar muito, mas nao me lembro de ter visto na kernel nada relativo a criptografia da swap por exemplo.O Linux esta alguns passos atras no que diz respeito a seguranca, portanto, nao acho saudavel descartar outros sistemas que visam esse fim so pq essa eh a lista debian-user-portuguese. E logico, como diversas outras pessoas que acompanham o desenvolvimento da kernel, espero que em breve na 2.5.x seja inserido algo como o grSecurity.E que com isso abram um leque maior de possibilidades a nivel de seguranca para todo o sistema. t+, -- _ _ __|_ _. _ _|_.__.._ _ _ (_||_|_ |_(_|\/(_) | |(_|| |(_(_)[EMAIL PROTECTED] _|nupg id: 0x37155778 [EMAIL PROTECTED] Rio de Janeiro/Brazil Key fingerprint = 1908 52B9 4A16 6EC2 74D1 C03B EDFB 7005 3715 5778 pgpDhDzUuKBir.pgp Description: PGP signature
Re: Ferramentas para garantir a segurança
Olá! Gostaria de fazer uma pergunta a quem tem trabalhado com segurança. Neste thread só se falou em harden. Pelo que pude ver ele é todo baseado no Securing Debian HOWTO. E quanto ao Bastille, que também é baseado em um um HOWTO, o Security HOWTO -- que é um documento genérico, para a maioria das distribuições GNU/Linux. Pelo que li sobre o Bastille, parece que ele se destina a sistemas próximos do RedHat, ao passo que o Harden estaria mais próximo do Debian. Contudo, existe um pacote do Bastille para Debian. Que talvez tenha tido esses detalhes (como nomes e localizações de arquivos de configuração) ajustados. Sendo assim, desculpem a pergunta: quem é melhor para tornar mais seguro um sistema com distribuição Debian? Obrigado, Hilton Fernandes __ Do You Yahoo!? Great stuff seeking new owners in Yahoo! Auctions! http://auctions.yahoo.com
Re: Ferramentas para garantir a segurança
E quanto ao Bastille, que também é baseado em um um HOWTO, o Security HOWTO -- que é um documento genérico, para a maioria das distribuições GNU/Linux. Senão me engano, o Bastille serve para criar um servidor bastião: aquele que é acessado por meio externo e não tem condição de permitir o acesso às outras máquinas do sistema. []'s +++ | Hélio Alexandre Lopes Loureiro | [EMAIL PROTECTED] | | http://helio.loureiro.eng.br | Debian/FreeBSD/OpenBSD | +++
Re: Ferramentas para garantir a segurança
Não procuro por um pacote que me dê segurança e sim por metodos para poder implementear uma melhor segurança em meu sistema. Como segurança exige bastante tempo, conhecimento e estar sempre atualizado resolvi recorer a lista para ver o que vc's iriam sugerir... Algumas dicas: 1) Troque sendmail por postfix ou qmail; 2) Use servidor de proftpd para servidor de ftp; 3) Permita acesso remoto somente via ssh; 4) Implemente cifragem de senhas via MD5 somente e com política de alteração a cada x dias, sendo que este x pode ser 60 dias; 5) Altere mensalmente a senha de root e não use algo simples; 6) Use semanalmente o Johny the ripper para quebrar senhas fracas do sistema; 7) Não forneça shells válidos à usuários que não necessitem estar conectados ao sistema; 8) Se for preciso fornecer shells, experimente aplicar restrições como rbash ou crie seu próprio shell com uso limitado; 9) Faça um checksum do sistema com algo como tripwire antes de colocá-lo em uso; 10) Use um firewall com política padrão deny; 11) Faça backup periódico; 12) Verifique os CGIs de seu servidor http (phpnuke costuma ter vários bugs); 13) Utilize algum método para verificar freqüentemente seus logs; 14) Evite utilizar serviços com autenticação em plain text sem utilizar um canal ssl, como por exemplo pop; 15) Por último: mantenha seu sistema atualizado! Acho que é isto. []'s +++ | Hélio Alexandre Lopes Loureiro | [EMAIL PROTECTED] | | http://helio.loureiro.eng.br | Debian/FreeBSD/OpenBSD | +++
Re: Ferramentas para garantir a segurança
Olah! Nah... BastilleLinux eh um conjunto de scripts originalmente feitos para RedHat que aplicavam varios conceitos de seguranca do Security-HOWTO. Ele foi traduzido para o Debian recentemente. Ainda naum tive a oportunidade de testar mas naum deve fugir muito disso. Nesse sentido, o pacote harden do Debian eh parecido mas o que o Bastille faz com scripts, o harden faz por meio do dpkg/debconf. []s Pablo Em Sab 26 Jan 2002 22:09, Hélio Alexandre Lopes Loureiro escreveu: | E quanto ao Bastille, que também é baseado em um um HOWTO, o | Security HOWTO -- que é um documento genérico, para a maioria das | distribuições GNU/Linux. | | Senão me engano, o Bastille serve para criar um servidor | bastião: aquele que é acessado por meio externo e não tem | condição de permitir o acesso às outras máquinas do sistema. | | | []'s | +++ | | | Hélio Alexandre Lopes Loureiro | [EMAIL PROTECTED] | | | http://helio.loureiro.eng.br | Debian/FreeBSD/OpenBSD | | | +++ -- Pablo Lorenzzoni (Spectra) [EMAIL PROTECTED] GnuPG Key ID 268A084D at search.keyserver.net Webpage: http://people.debian.org/~spectra/
Re: Ferramentas para garantir a segurança
Gostaria de saber o que vcs sugerem para avaliar a segurança de um linuxsoftware, checklist, etc... Isso pq estou montanto um servidor e gostaria de deixa-lo bem seguro. Troque para OpenBSD. []'s +++ | Hélio Alexandre Lopes Loureiro | [EMAIL PROTECTED] | | http://helio.loureiro.eng.br | Debian/FreeBSD/OpenBSD | +++
Re: Ferramentas para garantir a segurança
On Fri, Jan 25, 2002 at 08:02:48PM -0200, Hélio Alexandre Lopes Loureiro wrote: Gostaria de saber o que vcs sugerem para avaliar a segurança de um linuxsoftware, checklist, etc... Isso pq estou montanto um servidor e gostaria de deixa-lo bem seguro. Troque para OpenBSD. Me parece que não é tão simples. Não adianta instalar o sistema operacional dito o mais seguro, senão sabe-se usá-lo. A menos que o custo de aprendê-lo, compense o esforço. []s []'s +++ | Hélio Alexandre Lopes Loureiro | [EMAIL PROTECTED] | | http://helio.loureiro.eng.br | Debian/FreeBSD/OpenBSD | +++ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Joel Franco Debian Addicted Sanca - SP ICQ 19354050
Re: Ferramentas para garantir a segurança
Gostaria de saber o que vcs sugerem para avaliar a segurança de um linuxsoftware, checklist, etc... Isso pq estou montanto um servidor e gostaria de deixa-lo bem seguro. Troque para OpenBSD. Me parece que não é tão simples. Não adianta instalar o sistema operacional dito o mais seguro, senão sabe-se usá-lo. A menos que o custo de aprendê-lo, compense o esforço. Uma coisa é procurar segurança, outra é facilidade. Dificilmente encontra-se ambos juntos. Até um windows pode ser extremamente seguro, só que isto exige muito conhecimento e tempo de preparação da máquina. Se vc que antecipar programas para deixar seu sistema seguro, OpenBSD é uma boa opção, mas nada impede de usar Windows/Debian/RedHat/Conectiva/FreeBSD/Solaris ou qualquer outro sistema. Agora achar que tornar um sistema seguro basta apenas um pacote de segurança, isto é ilusão. []'s +++ | Hélio Alexandre Lopes Loureiro | [EMAIL PROTECTED] | | http://helio.loureiro.eng.br | Debian/FreeBSD/OpenBSD | +++
Re: Ferramentas para garantir a segurança
On Wed, Jan 23, 2002 at 05:24:49PM -0200, Pablo Lorenzzoni wrote: Olah! Vc estah usando Debian? Se estah, de uma olhada no pacote task-harden (=potato), ou harden (=woody). []s Pablo Em Qua 23 Jan 2002 12:01, Tiago escreveu: | Oi pessoal, | | Gostaria de saber o que vcs sugerem para avaliar a | segurança de um linuxsoftware, checklist, etc... | | Isso pq estou montanto um servidor e gostaria de | deixa-lo bem seguro. | | | Valeus!!! | | | -- | Tiago de Lima Bueno E aí Pablo! Uma vez eu perguntei aqui sobre o pacote que tu mencionou, mas a recomendação que me foi dada foi a de qu eu __não__ o instalasse. Qual é a tua avaliação/experiência ? [ ]s Henry [EMAIL PROTECTED]
Ferramentas para garantir a segurança
Oi pessoal, Gostaria de saber o que vcs sugerem para avaliar a segurança de um linuxsoftware, checklist, etc... Isso pq estou montanto um servidor e gostaria de deixa-lo bem seguro. Valeus!!! -- Tiago de Lima Bueno _ Do You Yahoo!? Get your free @yahoo.com address at http://mail.yahoo.com
Re: Ferramentas para garantir a segurança
Olah! Vc estah usando Debian? Se estah, de uma olhada no pacote task-harden (=potato), ou harden (=woody). []s Pablo Em Qua 23 Jan 2002 12:01, Tiago escreveu: | Oi pessoal, | | Gostaria de saber o que vcs sugerem para avaliar a | segurança de um linuxsoftware, checklist, etc... | | Isso pq estou montanto um servidor e gostaria de | deixa-lo bem seguro. | | | Valeus!!! | | | -- | Tiago de Lima Bueno | | | _ | Do You Yahoo!? | Get your free @yahoo.com address at http://mail.yahoo.com -- Pablo Lorenzzoni (Spectra) [EMAIL PROTECTED] GnuPG Key ID 268A084D at search.keyserver.net Webpage: http://people.debian.org/~spectra/
Re: Ferramentas para garantir a segurança
At 17:24 23/01/2002 -0200, you wrote: Olah! Vc estah usando Debian? Se estah, de uma olhada no pacote task-harden (=potato), ou harden (=woody). Estou usando a potato 2.2r5 e nao achei esse pacote... []s Pablo -- Pablo Lorenzzoni (Spectra) [EMAIL PROTECTED] GnuPG Key ID 268A084D at search.keyserver.net Webpage: http://people.debian.org/~spectra/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Tiago de Lima Bueno _ Do You Yahoo!? Get your free @yahoo.com address at http://mail.yahoo.com
Re: Ferramentas para garantir a segurança
Olah! Ooops... mea culpa. O task-harden naum foi oficialmente empacotado para o potato... soh foi backported. Naum me lembro o repositorio para o backport, mas o source naum deve ser muito dificil de compilar, uma vez que ele, basicamente, soh conflita com alguns outros pacotes (inseguros) e faz algumas configuracoes via debconf. O nome novo (com a abolicao dos pacotes task-*) eh harden. Veja em http://packages.debian.org/harden []s Pablo Em Qua 23 Jan 2002 18:53, Tiago escreveu: | At 17:24 23/01/2002 -0200, you wrote: | Olah! | | Vc estah usando Debian? Se estah, de uma olhada no pacote | task-harden (=potato), ou harden (=woody). | | Estou usando a potato 2.2r5 e nao achei esse pacote... | | []s | | Pablo | | -- | Pablo Lorenzzoni (Spectra) [EMAIL PROTECTED] | GnuPG Key ID 268A084D at search.keyserver.net | Webpage: http://people.debian.org/~spectra/ | | | -- | To UNSUBSCRIBE, email to | [EMAIL PROTECTED] with a subject of | unsubscribe. Trouble? Contact [EMAIL PROTECTED] | | -- | Tiago de Lima Bueno | | | _ | Do You Yahoo!? | Get your free @yahoo.com address at http://mail.yahoo.com -- Pablo Lorenzzoni (Spectra) [EMAIL PROTECTED] GnuPG Key ID 268A084D at search.keyserver.net Webpage: http://people.debian.org/~spectra/