|
|
||||||
| Fóruns | Wiki | Classificados | Videos | Jogos | Grupos Sociais | RSS Feeds | FAQ | Termos de Uso | Contato | Sobre |
| Registrar | Fotos | Blogs | Calendário | Marcar Fóruns Como Lidos |
| Publicidade |
|
|
Ferramentas pessoais
FerramentasPublicidade |
From UnderLinux Wiki
[editar] Macetes para ajudar na segurançaAlguns macetes básicos para os iniciantes que precisam melhorar a segurança do Linux. A dica aborda: ssh, ftp, apache, bind e portscan. Vale a pena gastar alguns segundos para ler isto, são pequenos ajustes que podem ser feitos rapidamente e podem ajudar muito na segurança de sua máquina SSHD: Uma idéia muito interessante e que uso com frequência é bloquear o acesso ao SSH para o usuario ROOT, obrigando o atacante a descobrir duas senhas, a de um usuário comum e a do root. [editar] Bloqueando acesso direto do root ssh[root@auth ~]# nano -w /etc/ssh/sshd_config e acrescente esta linha: PermitRootLogin no Caso você tenha um IP fixo e utilize apenas esta maquina para acessar os servidores, vc podera especiicar no sshd qual usuario e qual ip poderam efetuar logon. [root@auth ~]# nano -w /etc/ssh/sshd_config acrescentar a linha: AllowUsers usuario@ip
[editar] ApacheNunca é bom deixar as vistas do invasor a versão do software que esta utilizando, no Apache, para esconder esta informação, vc pode simplesmente alterar a linha e deixa-la assim: ServerSignature Off Outra dica é nunca deixar que os diretorios listem o conteúdo, caso nao haja o arquivo index.html Options +Indexes MultiViews
[editar] IptablesBloquear qualquer tipo de Ping echo"1"> /proc/sys/net/ipv4/icmp_echo_ignore_all Com isso você evita que o invasor envie pings para sua máquina. [editar] BindComo ja disse, é bom esconder a versão do Software e no caso do Bind é bom limitar a transferencia de zona para quem realmente precisa, faça assim:
edite o arquivo /etc/named.conf options {
version "Pootz! Esqueci a versao";
allow-transfer {
200.0.0.1; // Ip1
201.0.0.2; // ip2
};
};
[editar] SnifferVerifique se a sua rede esta sujeita a sniffer. [root@auth ~]# ifconfig eth0 e localize a linha e compare com estas. UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 // Sem Sniffer UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 // Promiscuo - Sujeito a sniffer [root@auth ~]# ifconfig eth0 -promisc // para retirar o modo promiscuo [editar] TIMEOUTEfetura logoff automatico após o tempo determinado de inatividade edite o arquivo /root/.bashrc e acrescente a linha: TMOUT=3600 // em segundos ou seja.. 1 hora de inatividade para logouf automatico. [editar] PORTASVerifique qual programa esta listando a porta. [root@auth ~]# nmap -sS localhost Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2005-06-15 13:47 AMT Interesting ports on auth (127.0.0.1): (The 1644 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 21/tcp open ftp [root@auth ~]# fuser 21/tcp here: 21 21/tcp: 1948 [root@auth ~]# ps 1948 PID TTY STAT TIME COMMAND 1948 ? S 0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf Bom.. algumas dicas básicas, espero que ajude os iniciantes a melhor um pouco mais a segurança dos servers. Abraços |