Re: [FUG-BR] Proteção contra troca de senha no boo t
Felippe, Obrigado pela ajuda, achei oque queria: # name getty typestatus comments # # If console is marked insecure, then init will ask for the root password # when going to single-user mode. console noneunknown off secure Trocando secure por insecure, ficou tudo certo. Obrigado, Vinícius On Mon, Sep 1, 2008 at 9:26 PM, Felippe de Meirelles Motta [EMAIL PROTECTED] wrote: On Mon, 1 Sep 2008 21:17:49 +0100 Vin__cius Abrah__o [EMAIL PROTECTED] wrote: Caros amigos, boa tarde, Alguem sabe como fazer pra desabilitar aquela tela onde se pode escolher o modo single-user na hora do boot. Esse modo permite que alguem com acesso ao boot da m__quina possa trocar a senha do root. S__ curiosidade, pois se alguem - mal intencionado - conseguir dar o boot na m__quina j__ __ uma baita falha de seguran__a. Obrigado, Vin__cius Schmidt - Hist__rico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Vin__cius, http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/consoles.html Boa leitura! -- [EMAIL PROTECTED] Felippe de Meirelles Motta - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Proteção contra troca de senha no boo t
Caros amigos, boa tarde, Alguem sabe como fazer pra desabilitar aquela tela onde se pode escolher o modo single-user na hora do boot. Esse modo permite que alguem com acesso ao boot da máquina possa trocar a senha do root. Só curiosidade, pois se alguem - mal intencionado - conseguir dar o boot na máquina já é uma baita falha de segurança. Obrigado, Vinícius Schmidt - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Proteção contra troca de senha no boo t
On Mon, 1 Sep 2008 21:17:49 +0100 Vin__cius Abrah__o [EMAIL PROTECTED] wrote: Caros amigos, boa tarde, Alguem sabe como fazer pra desabilitar aquela tela onde se pode escolher o modo single-user na hora do boot. Esse modo permite que alguem com acesso ao boot da m__quina possa trocar a senha do root. S__ curiosidade, pois se alguem - mal intencionado - conseguir dar o boot na m__quina j__ __ uma baita falha de seguran__a. Obrigado, Vin__cius Schmidt - Hist__rico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Vin__cius, http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/consoles.html Boa leitura! -- [EMAIL PROTECTED] Felippe de Meirelles Motta - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Proteção
2007/1/10, Guilherme M. O. [EMAIL PROTECTED]: Sim :) Pelo jeito não vou usar debian com apt-get customizado nem nada do tipo hehehe seria possível gerar um pacote da ferramenta case para o SO baixar e cuidar da atualização? On 1/10/07, Alex Moura [EMAIL PROTECTED] wrote: Com todas estas dicas, acredito que poucos S.O.s comerciais ou open-source oferecem as tal quantidade de possibilidades com custos (TCO, ROI ou o que preferir) tão competitivos quanto o FreeBSD. :o) Alex - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Guilherme M. O. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Guilherme, Vale a pena trabalhar num ambiente com tal nivel de desconfiança? -- Celso Vianna BSD User: 51318 http://www.bsdcounter.org 63 8404-8559 Palmas/TO - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Proteção
A questão do live CD não me preocupa, a idéia é que o servidor teria uma entrada usb e só, nada de drives de cds ou disquetes. Hoje em dia existe live-usb, mas para isso basta desabilitar o boot por usb na bios. Nessa linha o mesmo se aplica a CD/DVD =P A ferramenta está concentrada em apenas uma pasta, o custo de processamento que a criptografia vai gerar justifica encriptar o disco todo nesse caso? quero dizer, vale a pena abrir mão de um pouco de processamento para encriptar todo o disco se a aplicação está concentrada apenas nessa pasta? (ainda nao sei como a aplicação se comporta, não sei quanto consome nem nada) Depende do nivel de seguranca que voce quer ter. Se voce nao criptografar tudo tera que digitar a(s) chave(s) de cifragem antes de montar a particao onde esta a aplicacao. E' seguro, ao custo da interatividade com o sysadmin realmente responsavel. Qualquer outra abordagem automatizada a chave estara em uma particao nao criptografada, teoricamente sujeita a copia, mas como com geli pode ficar em extended attributes do UFS2, precisaria de alguem com paciencia e um pouco mais de conhecimento em FreeBSD pra descobrir (ja que voce pode definir o path e nome do atributo). A idéia inicial era não criar nenhum usuário para manutenção, porém você me deu uma idéia que parece segura, é capaz de eu usar ela e restringir um pouco a conta de manutenção usando o sudo. É possível eu restringir login usando certificado digital? assim o cara só ia conseguir logar se: 1) tivesse a senha da conta desprivilegiada 2) tivesse a senha do root 3) tivesse um token com um certificado digital emitido pelo meu servidor Eh sim, voce pode habilitar SecurID com Kerberos5 (de uma olhada no capitulo de kerberos do handbook) e configurar para preauth, ai o a chave privada (na verdade o token kerberos) sera lido antes da senha. Se for o caso pode por ainda biometria. Tem devices de preco baixo (80-120 dolares) no mercado, e incluindo teclados[1] ja com leitor biometrico. De preferencia pelos touchip da Upek. Mais barato tambem seriam smartcards, de preferencia towitoko[2] =P Valeu [1]http://www.ksikeyboards.com/products_list.php?category_id=1 [2]http://www.cardlogix.com/product_readers_towitoko.asp -- Patrick Tracanelli FreeBSD Brasil LTDA. (31) 3281-9633 / 3281-3547 [EMAIL PROTECTED] http://www.freebsdbrasil.com.br Long live Hanin Elias, Kim Deal! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Proteção
Em Wed, 10 Jan 2007 15:22:53 -0200 Guilherme M. O. [EMAIL PROTECTED] escreveu: Preciso que ele seja praticamente inacessível mesmo com acesso físico a máquina (entendam por acesso fisico o acesso ao monitor e teclado), e que ele busque atualizações apenas em outro servidor da minha rede (nele, em nenhum outro). até que é uma coisa comum, isso, afinal deveria ser a primeira preocupação do NetAdmin. bem, vamos lá: O q vc acha de uma sala pequena, lacrada com porta tipo frigorífico (cunha), janela de vidros grossos e preenchida com pressão positiva (1.5 Atm, por exemplo) de gas carbonico (ou Halon, pq não?)? a válvula de despressurização pode ser ligada diretamente a uma buzina pneumática - pra fazer bastante barulho - risos. Ninguém conseguiria trabalhar num ambiente assim. Adcionalmente, vc se garante contra riscos de incêndio. Acesso: que tal um notebook com bluetooth fechando uma vpn diretamente com o servidor (há uma janela, lembre-se). Ou radio, claro, mas sempre em vpn/IPSec trocando chaves. A limitação do servidor por ip/mac-addr pode ser conseguida tranquilamente com o pf, há bastante documentação a respeito. viagem por viagem, gosto mais das minhas :) -- flames /dev/null saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free A experiencia ensina que a mulher ideal é sempre a dos outros. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Proteção
bem, vamos lá: O q vc acha de uma sala pequena, lacrada com porta tipo frigorífico (cunha), janela de vidros grossos e preenchida com pressão positiva (1.5 Atm, por exemplo) de gas carbonico (ou Halon, pq não?)? a válvula de despressurização pode ser ligada diretamente a uma buzina pneumática - pra fazer bastante barulho - risos. Ninguém conseguiria trabalhar num ambiente assim. Adcionalmente, vc se garante contra riscos de incêndio. É o trailer da nova temporada de missão impossível ? Heehehehhehehehehehehehe Faltou o raio laser(sempre tem isso em filmes...) e medidor de calor que dispara com elevação de 0,01C ;) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Proteção [OFF TOPIC]
Em 11/01/07, Renato Frederick[EMAIL PROTECTED] escreveu: outra coisa cuidado com programadora de 24 horas ele invade tudo numca vi um filme tao metiroso igual aquele que a mulher invade aquilo e outra coisa. -- Alessandro de Souza Rocha Administrador de Redes e Sistemas Freebsd-BR User #117 - Ahhh.. filmes dos anos 80.. com os hackers que andavam de skate(rebeldia!) e iam parar no (sic) mundo virtual dentro dos chips (era um Z80? O tamanho era igual Hehehe), sobre os monitores CGA verdes como a Amazônia. Tem que tomar cuidado com esse povo também :) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd e isso ae.. -- Alessandro de Souza Rocha Administrador de Redes e Sistemas Freebsd-BR User #117 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Proteção
Pessoal, Boa Tarde Estou precisando configurar para um projeto um servidor que precise de um tipo meio complexo de segurança. Preciso que ele seja praticamente inacessível mesmo com acesso físico a máquina (entendam por acesso fisico o acesso ao monitor e teclado), e que ele busque atualizações apenas em outro servidor da minha rede (nele, em nenhum outro). Eu iria configurar ele e então travar ele de forma que nada mais precise ser mudado. Ele rodaria aplicações próprias, e eu precisaria atualizar essas aplicações (elas tem um módulo próprio de atualização) e o SO em si, mas tudo através apenas do servidor interno da minha rede. Pensei em usar alguma distro linux e então o SE Linux. Mas então pensei no FreeBSD, e como sou leigo no free, existe alguma solução para esse caso? Grato -- Guilherme M. O. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Proteção
On 1/10/07, Guilherme M. O. [EMAIL PROTECTED] wrote: pensei no FreeBSD, e como sou leigo no free, existe alguma solução para esse caso? Existe, mas vai requerer um certo investimento, que entendo que você está disposto a aceitar, uma vez que pretende ter outra máquina como servidor para atualizações. O que você quer fazer está documentado em: Mirroring FreeBSD http://www.freebsd.org/doc/en_US.ISO8859-1/articles/hubs/index.html Depois, no servidor, será preciso indicar para o SO que deve baixar as atualizações so seu espelho do projeto FreeBSD (que, obivamente, não precisa ser publicamente acessível). Alex - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Proteção
Preciso que ele seja praticamente inacessível mesmo com acesso físico a máquina (entendam por acesso fisico o acesso ao monitor e teclado), e que ele busque atualizações apenas em outro servidor da minha rede (nele, em nenhum outro). Eu iria configurar ele e então travar ele de forma que nada mais precise ser mudado. Desabilite a console no /etc/ttys ou coloque como insecure, o que fará com que a senha do root seja pedida no momento do boot, caso alguém tente iniciar em single mode. Remova cdrom/disquete e ative senha de BIOS, bem como ative o alerta de open case, caso alguém tente abrir o gabinete. Gabinetes profissionais possuem além do alerta opção de cadeado ou chaves. Ele rodaria aplicações próprias, e eu precisaria atualizar essas aplicações (elas tem um módulo próprio de atualização) e o SO em si, mas tudo através apenas do servidor interno da minha rede. Ative ipsec entre os 2, com filtro de mac também, ligando-os via cabo cross ou utilizando uma vlan caso haja switch no meio do caminho, bem como travando as portas para só aceitar os mac pré determinados. Caso seja remoto, ipsec é a única opção. Pensei em usar alguma distro linux e então o SE Linux. Mas então pensei no FreeBSD, e como sou leigo no free, existe alguma solução para esse caso? Acho que a questão não é distribuição,mas sim como travar ao máximo o que você está utilizando. Pense também em formas de criptografar via software o que você está usando, evitando que na pior das hipóteses arranquem o HD com uma marreta :) Grato - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Proteção
Ok, tentarei explicar melhor. Preciso colocar um servidor em um local físico não confiável. Se a pessoa tiver acesso físico ao servidor, ela não poderá fazer nada, no máximo acessar um console sem permissão a nada. Esse servidor hospeda a versão server de uma ferramenta case própria que deve ser acessada por uma rede local, e somente esta porta estará liberada no servidor, nenhuma mais (nada de ssh, ftp, nada). Depois de configurado, teoricamente não há necessidade de realizar manutenção no servidor. Porém ele deve acessar um servidor de atualização situado em outra rede (interna também) e auto-atualizar o OS e a ferramenta case (a ferramenta case, baixando o arquivo e os scripts ela consegue se auto-atualizar. a questão da atualização do SO sugerida pelo Alex Moura seria suficiente, creio eu) periodicamente (para manter o servidor protegido de bugs e a ferramenta case sempre com a versão mais nova. Como são redes diferentes, e eu só tenho acesso a rede do servidor e nada mais, o local fisico do servidor não é confiavel, eu precisaria proteger o server contra acesso físico, de forma que se alguem conseguisse acessar o console (se for possível, nem acessar o console ele conseguiria), não conseguiria fazer nada. A ferramenta case precisa de privilégios administrativos para rodar (root) e recebe atualizações no mínimo semanais. On 1/10/07, Victor Loureiro Lima [EMAIL PROTECTED] wrote: Pessoal, Boa Tarde Estou precisando configurar para um projeto um servidor que precise de um tipo meio complexo de segurança. Preciso que ele seja praticamente inacessível mesmo com acesso físico a máquina (entendam por acesso fisico o acesso ao monitor e teclado), e que ele busque atualizações apenas em outro servidor da minha rede (nele, em nenhum outro). Eu iria configurar ele e então travar ele de forma que nada mais precise ser mudado. Inacessivel por meio fisico e' coisa muito complicada, mas existem solucoes que ficam bem perto disso e que de repente funcionariam para voce. Acesso restrito a sala, em um predio com acesso restrito tbm, seguranca nos andares e etc, etc etc... Ele rodaria aplicações próprias, e eu precisaria atualizar essas aplicações (elas tem um módulo próprio de atualização) e o SO em si, mas tudo através apenas do servidor interno da minha rede. Isso e' facil de fazer de certa forma, faz um cabeamento de forma que o unico computador que ele esteja conectado seja o que contem as atualizacoes!!! (nota: A seguranca do computador que contem as atualizacoes e' critica para a seguranca do que esta' trancafiado - seus problemas acabaram de multiplicar por dois ;)) Pensei em usar alguma distro linux e então o SE Linux. Mas então pensei no FreeBSD, e como sou leigo no free, existe alguma solução para esse caso? FreeBSD e' bem seguro, mas nao tem o foco de ser o mais seguro nao, no mundo dos BSDs sem duvida o mais seguro e' o OpenBSD (www.openbsd.org - codigos constantemente revisados, um codigo so' e 'incorporado ao source-tree depois de extensivamente auditado* e etc, tem mecanismos built-in e quase off-the-box que realmente aumentam a seguranca e etc... vale a pena verificar) Grato -- Guilherme M. O. Voce provavelmente vai ter que explicar mais sobre o seu problema, porque da forma com o voce colocou ficou um pouco vago para mim, de repente o freebsd pode ate' ser a melhor solucao para voce, mas com as descricoes que voce deu, qualquer sistema operacional bem configurado e gerenciado pode render o mesmo nivel de seguranca (salvo alguns S.O. :)) att, victor loureiro lima - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Guilherme M. O. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Proteção
Alex, Valeu :) parece ser ideal, mas fazendo um mirror desses, seria possível automatizar o processo de atualização? tenho em mente um script que rodaria de tempos em tempos (usando algo equivalente ao cron ou então um daemon próprio) e falaria para o ambiente se atualizar usando esses mirrors. Mas não existe atualizações que precisam de entrada de dados? (por exemplo uma pergunta se quer manter um config ou criar um novo, ) Sou extremamente leigo no FreeBSD e se fechar ele da forma que eu estou pensando (ou modo parecido) for possível, estudarei ele a fundo para conseguir fazer o mesmo (pretendo fazer isso de qualquer forma, mas se eu precisar fazer isso para o trabalho vai ser bem mais rápido pois terei mais tempo). Valeu On 1/10/07, Alex Moura [EMAIL PROTECTED] wrote: On 1/10/07, Guilherme M. O. [EMAIL PROTECTED] wrote: pensei no FreeBSD, e como sou leigo no free, existe alguma solução para esse caso? Existe, mas vai requerer um certo investimento, que entendo que você está disposto a aceitar, uma vez que pretende ter outra máquina como servidor para atualizações. O que você quer fazer está documentado em: Mirroring FreeBSD http://www.freebsd.org/doc/en_US.ISO8859-1/articles/hubs/index.html Depois, no servidor, será preciso indicar para o SO que deve baixar as atualizações so seu espelho do projeto FreeBSD (que, obivamente, não precisa ser publicamente acessível). Alex - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Guilherme M. O. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Proteção
On 1/10/07, Guilherme M. O. [EMAIL PROTECTED] wrote: Depois de configurado, teoricamente não há necessidade de realizar manutenção no servidor. Porém ele deve acessar um servidor de atualização situado em outra rede (interna também) e auto-atualizar o OS e a ferramenta case (a ferramenta case, baixando o arquivo e os scripts ela consegue se auto-atualizar. a questão da atualização do SO sugerida pelo Alex Moura seria suficiente, creio eu) periodicamente (para manter o servidor protegido de bugs e a ferramenta case sempre com a versão mais nova. Atualmente, as ferramentas de atualização interessantes do FreeBSD são a freebsd-update a portsnap. Talvez, se for possível, seja interessante fazer um espelho do freebsd-update e do portsnap, ao invés de espelhar os fontes do projeto. Outra dica interessante é a de criptografar filesystem no disco. Pra isso, o FreeBSD Handbook ajuda: 17.16 Encrypting Disk Partitions http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/disks-encrypting.html Alex - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Proteção
On 1/10/07, Guilherme M. O. [EMAIL PROTECTED] wrote: parece ser ideal, mas fazendo um mirror desses, seria possível automatizar o processo de atualização? Sim, usando o freebsd-update, basta rodar no crontab: freebsd-update cron freebsd-update install e, se houver atualizações de kernel, reinicializar o sistema. Para atualizar os ports (pacotes de software além do S.O.), pode usar o portsnap também via crontab: portsnap cron portsnap update Será necessário fazer algumas configurações adicionais para dizer ao SO para usar o _seu_ servidor para baixar as atualizações. O padrão é baixá-las da Internet. (...) Mas não existe atualizações que precisam de entrada de dados? (por exemplo uma pergunta se quer manter um config ou criar um novo, ) Não é recomendável e nem é possível atualizar _todo e qualquer_ software dos ports de forma totalmente automática, mas com os softwares que isto for possível, você pode configurar a variável BATCH=yes ou o parâmetro --batch do portupgrade para fazer atualizações de de forma não-interativa. Alex - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Proteção
A precaucao sobre o acesso fisico (ou o medo) envolve apenas operacoes multiusuario no ambiente de producao ou a questao e' copia indevida dos dados no servidor? Porque se for a segunda, todas as solucoes eventualmente indicadas sao anuladas por um simples boot com um disco Live ou com o HD sendo secundario de um outro FreeBSD. Se o receio o segundo caso, voce soh tem um caminho: criptografar todo o disco. Inclusive a raiz. Nesse caso use gbde(8) ou geli(8) (options GEON_ELI). Veja em www.fug.com.br como usa-los. Eu indico a segunda forma (geli). Do contrario basta combinar chflags, securelevel e colocar todos os terminais em modo insecure no /etc/ttys, isso exigira saber 1) a senha de um usuario desprivilegiado, 2) a senha de root e 3) que o usuario desprivilegiado seja parte do mesmo grupo do root para ter privilegios no servidor. Uma pergunta. Alguem vai ter algum acesso? Pra manutencao por exemplo? Se sim, coloque o /usr/bin/su como shell desse usuario, e coloque nologin como shell de qualquer outro usuario. Porque /usr/bin/su como shell? A ideia eh garantir que se alguem for se logar, sera pra manutencao, e pra isso devera saber ambas as senhas, a do usuario desprivilegiado e a do proprio root (ja que o root nao se logara diretamente apos a configuracao insecure do /etc/ttys). Senao, o usuario se loga sem saber a senha do root, apenas sabendo a do desprivilegado e pode ficar brincando de tour no sistema, dando mkdir no /tmp ate acabar os inodes hehe, que eh o que voce nao quer. A ideia eh facilmente adaptavel ao sudo caso queria restringir o alcance da manutencao (nao sei se eh o seu caso). S/Key tambem pode ser de seu interesse: http://doc.fug.com.br/doc/pt_BR.ISO8859-1/books/handbook/one-time-passwords.html man security dara mais dicas sobre ttys, securelevel e chflags, entre outros. -- Patrick Tracanelli FreeBSD Brasil LTDA. (31) 3281-9633 / 3281-3547 [EMAIL PROTECTED] http://www.freebsdbrasil.com.br Long live Hanin Elias, Kim Deal! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Proteção
Com todas estas dicas, acredito que poucos S.O.s comerciais ou open-source oferecem as tal quantidade de possibilidades com custos (TCO, ROI ou o que preferir) tão competitivos quanto o FreeBSD. :o) Alex - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Proteção
A precaução é não só com o cara mudar algo na configuração ou coisa do tipo, mas também acessar dados da própria empresa que são mantidos pela ferramenta case. (login da própria ferramenta, valores e informações da empresa que seguem certa classificação). A questão do live CD não me preocupa, a idéia é que o servidor teria uma entrada usb e só, nada de drives de cds ou disquetes. Hoje em dia existe live-usb, mas para isso basta desabilitar o boot por usb na bios. Se precisasse de manutenção, seria levado um servidor temporário pré configurado, e então o servidor seria trazido para a minha área que cuidaria da manutenção. A ferramenta está concentrada em apenas uma pasta, o custo de processamento que a criptografia vai gerar justifica encriptar o disco todo nesse caso? quero dizer, vale a pena abrir mão de um pouco de processamento para encriptar todo o disco se a aplicação está concentrada apenas nessa pasta? (ainda nao sei como a aplicação se comporta, não sei quanto consome nem nada) A idéia inicial era não criar nenhum usuário para manutenção, porém você me deu uma idéia que parece segura, é capaz de eu usar ela e restringir um pouco a conta de manutenção usando o sudo. É possível eu restringir login usando certificado digital? assim o cara só ia conseguir logar se: 1) tivesse a senha da conta desprivilegiada 2) tivesse a senha do root 3) tivesse um token com um certificado digital emitido pelo meu servidor Valeu On 1/10/07, Patrick Tracanelli [EMAIL PROTECTED] wrote: A precaucao sobre o acesso fisico (ou o medo) envolve apenas operacoes multiusuario no ambiente de producao ou a questao e' copia indevida dos dados no servidor? Porque se for a segunda, todas as solucoes eventualmente indicadas sao anuladas por um simples boot com um disco Live ou com o HD sendo secundario de um outro FreeBSD. Se o receio o segundo caso, voce soh tem um caminho: criptografar todo o disco. Inclusive a raiz. Nesse caso use gbde(8) ou geli(8) (options GEON_ELI). Veja em www.fug.com.br como usa-los. Eu indico a segunda forma (geli). Do contrario basta combinar chflags, securelevel e colocar todos os terminais em modo insecure no /etc/ttys, isso exigira saber 1) a senha de um usuario desprivilegiado, 2) a senha de root e 3) que o usuario desprivilegiado seja parte do mesmo grupo do root para ter privilegios no servidor. Uma pergunta. Alguem vai ter algum acesso? Pra manutencao por exemplo? Se sim, coloque o /usr/bin/su como shell desse usuario, e coloque nologin como shell de qualquer outro usuario. Porque /usr/bin/su como shell? A ideia eh garantir que se alguem for se logar, sera pra manutencao, e pra isso devera saber ambas as senhas, a do usuario desprivilegiado e a do proprio root (ja que o root nao se logara diretamente apos a configuracao insecure do /etc/ttys). Senao, o usuario se loga sem saber a senha do root, apenas sabendo a do desprivilegado e pode ficar brincando de tour no sistema, dando mkdir no /tmp ate acabar os inodes hehe, que eh o que voce nao quer. A ideia eh facilmente adaptavel ao sudo caso queria restringir o alcance da manutencao (nao sei se eh o seu caso). S/Key tambem pode ser de seu interesse: http://doc.fug.com.br/doc/pt_BR.ISO8859-1/books/handbook/one-time-passwords.html man security dara mais dicas sobre ttys, securelevel e chflags, entre outros. -- Patrick Tracanelli FreeBSD Brasil LTDA. (31) 3281-9633 / 3281-3547 [EMAIL PROTECTED] http://www.freebsdbrasil.com.br Long live Hanin Elias, Kim Deal! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Guilherme M. O. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Proteção
o servidor será destinado apenas a essa ferramenta case. provavelmente ele conte com um kernel compilado para ele (vale a pena fazer isso?), um daemon próprio e programas como apache, [...], nada muito complicado. por isso acho que não teremos problemas com atualizações do ports, mesmo por que podemos controlar no mirror as atualizações que serão disponibilizadas, evitando enviar coisas que não foram homologadas pela empresa. On 1/10/07, Alex Moura [EMAIL PROTECTED] wrote: Sim, usando o freebsd-update, basta rodar no crontab: freebsd-update cron freebsd-update install e, se houver atualizações de kernel, reinicializar o sistema. Para atualizar os ports (pacotes de software além do S.O.), pode usar o portsnap também via crontab: portsnap cron portsnap update Será necessário fazer algumas configurações adicionais para dizer ao SO para usar o _seu_ servidor para baixar as atualizações. O padrão é baixá-las da Internet. (...) Mas não existe atualizações que precisam de entrada de dados? (por exemplo uma pergunta se quer manter um config ou criar um novo, ) Não é recomendável e nem é possível atualizar _todo e qualquer_ software dos ports de forma totalmente automática, mas com os softwares que isto for possível, você pode configurar a variável BATCH=yes ou o parâmetro --batch do portupgrade para fazer atualizações de de forma não-interativa. Alex - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Guilherme M. O. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Proteção
Sim :) Pelo jeito não vou usar debian com apt-get customizado nem nada do tipo hehehe seria possível gerar um pacote da ferramenta case para o SO baixar e cuidar da atualização? On 1/10/07, Alex Moura [EMAIL PROTECTED] wrote: Com todas estas dicas, acredito que poucos S.O.s comerciais ou open-source oferecem as tal quantidade de possibilidades com custos (TCO, ROI ou o que preferir) tão competitivos quanto o FreeBSD. :o) Alex - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Guilherme M. O. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
