[ anterior ] [ Conteúdo ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ próximo ]
Uma das coisas mais difíceis sobre escrever documentos relacionado a segurança é que cada caso é único. Duas coisas que deve prestar atenção são o ambiente e as necessidades de segurança de um site, máquina ou rede. Por exemplo, a segurança necessária para um usuário doméstico é completamente diferente de uma rede em um banco. Enquanto a principal preocupação que um usuário doméstico tem é confrontar o tipo de cracker script kiddie, uma rede de banco tem preocupação com ataques diretos. Adicionalmente, o banco tem que proteger os dados de seus consumidores com precisão aritmética. Em resumo, cada usuário deve considerar o trajeto entre a usabilidade e paranóia/segurança.
Note que este manual somente cobre assuntos relacionados a software. O melhor software do mundo não pode te proteger se alguém puder ter acesso físico a máquina. Você pode coloca-la sob sua mesa, ou você pode coloca-la em um cofre fechado com uma arma de frente para ela. Não obstante a computação desktop pode ser muito mais segura (do ponto de vista do software) que uma fisicamente protegida caso o desktop seja configurado adequadamente e o programa na máquina protegida esteja cheio de buracos de segurança. Obviamente, você deverá considerar ambos os casos.
Este documento apenas lhe dará uma visão do que pode aumentar em segurança no sistema Debian GNU/Linux. Se ler outros documentos relacionados a segurança em Linux, você verá que existem assuntos comuns que se cruzarão com os citados neste documento. No entanto, este documento não tentará ser a última fonte de informações que deverá estar usando, ele tentará adaptar esta mesma informação de forma que seja útil no sistema Debian GNU/Linux. Distribuições diferentes fazem coisas de forma diferente (inicialização de daemons é um exemplo); aqui, você encontrará materiais que são apropriados para os procedimentos e ferramentas da Debian.
O mantenedor atual deste documento é Javier Fernández-Sanguino Peña
. Por
favor encaminhe a ele quaisquer comentários, adições e sugestões, e ele
considerará a inclusão em lançamentos futuros deste manual.
Este manual foi iniciado como um HOWTO por Alexander Reelsen
. Após ter sido publicado
na Internet, Javier Fernández-Sanguino
Peña
o incorporou no Projeto de Documentação da Debian
.
Um número de pessoas tem contribuído com este manual (todos os contribuidores
estão listados no changelog) mas os seguintes merecem especial menção pois
fizeram contribuições significantes, seções completas, capítulos ou apêndices):
Stefano Canepa
Era Eriksson
Carlo Perassi
Alexandre Ratti
Jaime Robles
Yotam Rubin
Frederic Schutz
Pedro Zorzenon Neto
Oohara Yuuma
Davor Ocelic
Você poderá baixar ou ver a versão mais nova do Manual Como Tornar a Debian
mais Segura no Projeto de
Documentação da Debian
. Sinta-se l livre para checar o sistema de
controle de versões através do endereço servidor
CVS
.
Você poderá também baixar uma versão
texto
do site do projeto de Documentação da Debian. Outros
formatos, com o PDF, (ainda) não estão disponíveis. No entanto, você poderá
baixar ou instalar o pacote harden-doc
que contém o
mesmo documento em formatos HTML, txt e PDF. Note no entanto, que o pacote
pode não estar completamente atualizado com o documento fornecido pela Internet
(mas você sempre poderá usar o pacote fonte para construir você mesmo uma
versão atualizada).
Agora a parte oficial. No momento, eu (Alexandre Reelsen) escrevi a maioria dos parágrafos deste manual, mas em minha opinião este não deve ser o caso. Eu cresci e vivi com software livre, ele é parte do meu dia a dia e eu acho que do seu também. Eu encorajo a qualquer um para me enviar retorno, dicas, adições ou qualquer outra sugestão que possa ter.
Se achar que pode manter melhor uma certa seção ou parágrafo, então escreva um documento ao maintainer (mantenedor) e você será bem vindo a faze-lo. Especialmente se você encontrar uma seção marcada como FIXME, que significa que os autores não tem tempo ainda ou precisam de conhecimento sobre o tópico, envie um e-mail para eles imediatamente.
O tópico deste manual torna isto bastante claro que é importante mantê-lo atualizado, e você pode fazer sua parte. Por favor contribua.
A instalação do sistema Debian GNU/Linux não é muito difícil e você deverá ser capaz de instala-lo. Se você já tem algum conhecimento sobre o Linux ou outros tipo de Unix e você está um pouco familiar com a segurança básica, será fácil entender este manual, como este documento não explicará cada detalhe pequeno de características (caso contrário você terá um livro ao invés de um manual). Se não estiver familiar, no entanto, você poderá dar uma olhada em Esteja ciente dos problemas gerais de segurança, Seção 2.2 para ver onde achar informações atualizadas.
Esta seção descreve todas as coisas que precisam ser corrigidas neste manual. Alguns parágrafos incluem as tags FIXME ou TODO descrevendo qual conteúdo esta faltando (ou que tipo de trabalho precisa ser feito). O propósito desta seção é descrever todas as coisas que precisam ser incluídas em um lançamento futuro do Manual, ou melhorias que precisam ser feitas (ou que são interessantes de serem adicionadas).
Se sente que pode fornecer ajuda contribuindo com a correção de conteúdo em qualquer elemento desta lista (ou anotações inline), contacte o autor principal (Autores, Seção 1.1
Expanda informações de resposta a incidentes, talvez adicione algumas idéias
vindas do guia de segurança da Red Hat capítulo
sobre resposta a incidentes
.
Escreva sobre ferramentas de monitoramento remoto (para verificar a
disponibilidade do sistema) tal como monit
,
daemontools
e mon
. Veja http://linux.oreillynet.com/pub/a/linux/2002/05/09/sysadminguide.html
.
Considere escrever uma seção sobre como fazer operações em rede com redes
baseadas em sistemas Debian (com informações tal como o sistema básico,
equivs
e FAI).
Verifique se http://www.giac.org/practical/gsec/Chris_Koutras_GSEC.pdf
tem informações relevantes ainda não cobertas aqui.
Adicione informações sobre como configurar um notebook com a Debian http://www.giac.org/practical/gcux/Stephanie_Thomas_GCUX.pdf
Adicione informações sobre como fazer um firewall usando o sistema Debian GNU/Linux. A seção relacionada a firewall é orientada atualmente sobre um sistema simples (não protegendo outros...) também fale sobre como testar a configuração.
Adicionar informações sobre como configurar um firewall proxy com a Debian
GNU/Linux iniciando especificamente com pacotes fornecendo serviços proxy (como
xfwp
, xproxy
, ftp-proxy
,
redir
, smtpd
, nntp-cache
,
dnrd
, jftpgw
, oops
, pdnsd
,
perdition
, transproxy
, tsocks
). Deverá
ser apontado para um manual com mais informações. Note que o zorp
esta agora disponível como um pacote da Debian e é um firewall proxy
(ele também fornece pacotes upstream da Debian).
Informações sobre a configuração de serviços com o file-rc
Verifique todas as URLs de referência e remova/corrija as que não estão mais disponíveis.
Adicione informações sobre as substituições disponíveis (na Debian) para serviços padrões que são úteis para funcionalidades limitadas. Exemplos:
lpr local com o cups (pacote)?
lpr remota com o lpr
bind com dnrd/maradns
apache com dhttpd/thttpd/wn (tux?)
exim/sendmail com ssmtpd/smtpd/postfix
squid com tinyproxy
ftpd com oftpd/vsftp
...
Mais informações sobre patches do kernel relacionadas a segurança, incluindo os acima e informações específicas de como ativar estes patches em um sistema Debian.
Detecção de Intrusão do Linux (lids-2.2.19
)
Linux Trustees (no pacote trustees
)
kernel-patch-2.2.19-harden
kernel-patch-freeswan
, kernel-patch-int
Detalhes sobre como desligar serviços desnecessários (como o
inetd
), é parte do procedimento de fortalecimento mas pode ser um
pouco mais abrangente.
Informações relacionadas a rotacionamento de senhas que é diretamente relacionada a política.
Policy, e educação de usuários sobre a política.
Mais sobre tcpwrappers, e wrappers em geral?
O arquivo hosts.equiv
e outros maiores buracos de segurança.
Assuntos relacionados a serviços de compartilhamento de arquivos tais como Samba e NFS?
suidmanager/dpkg-statoverrides.
lpr e lprng.
Desligar os ítens do gnome relacionados a IP
Falar sobre o pam_chroot (ver http://lists.debian.org/debian-security/2002/debian-security-200205/msg00011.html
)
e como ele é útil para limitação de usuários. Introduzir informações
relacionadas ao http://online.securityfocus.com/infocus/1575
.
Pdmenu
, por exemplo está disponível na Debian (enquanto o flash
não).
Falar sobre como executar serviços em ambiente chroot, mais informações em
http://www.linuxfocus.org/English/January2002/article225.shtml
,
http://www.nuclearelephant.com/papers/chroot.html
e http://www.linuxsecurity.com/feature_stories/feature_story-99.html
Fale sobre programas para fazer jaulas chroot. Compartment
e
chrootuid
estão aguardando na incoming. Alguns outros como o
(makejail, jailer) podem também serem introduzidos.
Adicionar informações fornecidas por Pedro Zorzenon sobre como fazer chroot do
Bind 8 somente para a :(, veja http://people.debian.org/~pzn/howto/chroot-bind.sh.txt
( incluir todo o roteiro?).
Mais informações relacionadas a programas de análise de logs (i.e. logcheck e logcolorise).
roteamento 'avançado' (policiamento de tráfego é relacionado a segurança)
limitando o acesso do ssh
a executar somente certos comandos.
usando o dpkg-statoverride.
métodos seguros de compartilhar um gravador de CD entre usuários.
métodos seguros de fornecer som em rede em adição a características display (assim o som de clientes X são enviados para o hardware de som do servidor X).
tornando navegadores mais seguros.
configurando ftp sobre ssh
.
usando sistemas de arquivos loopback criptográficos.
encriptando todo o sistema de arquivos.
ferramentas de steganografia.
ajustando um PKA para uma empresa.
usando o LDAP para gerenciar usuários. Existe um howto do ldap+kerberos para o Debian em www.bayour.com escrito por Turbo Fredrikson.
Como remover informações de utilidade reduzida em sistemas de produção tal como
/usr/share/doc
, /usr/share/man
(sim, segurança pela
obscuridade).
Mais informações baseadas em ldap dos pacotes contendo os arquivos README (bem,
não ainda, mas veja Bug
#169465
) e a partir do artigo LWN: desenvolvimento do
Kernel
.
Adicionar o artigo do Colin sober como configurar um ambiente chroot para um
sistema sid completo (http://people.debian.org/~walters/chroot.html
)
Adicionar informações sobre como executar múltiplos sensores do snort em um determinado sistema (checar pelos relatórios de falhas enviados para o snort)
Adicionar informações sobre como configurar um honeypot (honeyd
)
Descrever situações sobre o (orphaned) e OpenSwan. A seção sobre VPN precisa ser reescrita.
Alterações feitas por Javier Fernández-Sanguino Peña
Adicionado esclarecimentos a /usr somente leitura com o patch de Joost van Baal
Aplicação do do patch de Jens Seidel corrigindo alguns erros.
FreeSWAN está morto, longa vida ao OpenSWAN.
Adicionadas informações sobre a restrição de acessos a serviços RPC (quando não podem ser desativados) incluído também o patch fornecido por Aarre Laakso.
Atualização do script apt-check-sigs do aj.
Aplicação do patch de Carlo Perassi corrigindo URLs.
Aplicação do patch de Davor Ocelic corrigindo muitos erros, enganos, urls, gramática e FIXMEs. Também adicionadas mais informações adicionais a respeito de algumas seções.
Reescrita a seção sobre auditoria do usuário, destacando o uso do script que não tem as mesmas restrições associadas ao histórico do shell.
Alterações feitas por Javier Fernández-Sanguino Peña
Reescrita as informações sobre auditoria de usuário incluindo exemplos de como usar o script.
Alterações feitas por Javier Fernández-Sanguino Peña
Adicionadas informações sobre referências nos DSAs e compatibilidade com o CVE.
Adicionadas informações a respeito do apt 0.6 (apt-secure colocado na experimental)
Corrigida a localização do HOWTO sobre como executar daemons em ambiente chroot como sugerido por Shuying Wang.
Alterada a linha do APACHECTL no exemplo de chroot do Apache (até se não for usado) como sugerido por Leonard Norrgard.
Adicionada uma nota de rodapé a respeito de ataques usando hardlinks caso as partições não fossem configuradas adequadamente.
Adicionada passos faltantes para executar o bind como named como descrito por Jeffrey Prosa.
Adicionada notas sobre o Nessus e Snort desatualizados na woody e disponibilidade de pacotes portados para esta versão.
Adicionado um capítulo a respeito da checagem de integridade periódica.
Esclarecido o estado de testes a respeito de atualizações de segurança. (Debian bug 233955)
Adicionadas mais informações a respeito de conteúdo esperado em securetty (pois é específicas de kernel).
Adicionadas referências ao snoopylogger (bug da Debian 179409)
Adicionadas referências ao guarddog (bug da Debian 170710)
Apt-ftparchive está no pacote apt-utils, não no apt (obrigado por Emmanuel Chantreau apontar isto)
Removido o jvirus da lista AV.
Alterações por Javier Fernández-Sanguino Peña
Corrigidas URLs como sugerido por Frank Lichtenheld.
Corrigido o erro PermitRootLogin como sugerido por Stefan Lindenau.
Alterações feitas por Javier Fernández-Sanguino Peña
Adicionadas as pessoas que fizeram as contribuições mais significantes a este manual (por favor, envie um e-mail se achar que deveria estar nesta lista e não está).
Adicionadas algumas notas a respeito de FIXME/TODOs
Movidas informações a respeito de atualizações de segurança para o inicio da seção como sugerido por Elliott Mitchell.
Adicionado o grsecurity a lista de patches do kernel para segurança, mas adicionada uma nota de rodapé sobre situações atuais como sugerido por Elliott Mitchell.
Removidos os loops (echo para 'todos') no script de segurança de rede do kernel, como sugerido por Elliott Mitchell.
Adicionadas informações (atualizadas) na seção sobre antivirus.
Reescrita da seção de proteção contra buffer overflows e adicionadas mais informações sobre patches no compilador para ativar este tipo de proteção.
Alterações feitas por Javier Fernández-Sanguino Peña
Removido (e então novamente adicionado) apêndice sobre como rodar o Apache em ambiente chroot. O apêndice agora tem dupla licença.
Alterações feitas por Javier Fernández-Sanguino Peña
Corrigido erros enviados por Leonard Norrgard.
Adicionada uma seção sobre como contactar o CERT para manipulação de incidentes
(#after-compromise
)
Mais informações sobre como tornar um proxy mais seguro.
Adicionada uma referência e removido um FIXME. Agradecimentos a Helge H. F.
Corrigido um erro (save_inactive) observado por Philippe Faes.
Corrigido diversos erros descobertos por Jaime Robles.
Alterações feitas por Javier Fernández-Sanguino Peña
Segundo as sugestões de Maciej Stachura's, expandi a seção sobre limitação de usuários.
Corrigidos erros relatados por Wolfgang Nolte.
Corrigidos os links com o patch contribuído por Ruben Leote Mendes.
Adicionado um link para o excelente documento de David Wheeler na footnote sobre a contagem de vulnerabilidade de segurança.
Alterações feitas por Frédéric Schütz.
reescrita toda a seção sobre atributos ext2 (lsattr/chattr)
Alterações feitas por Javier Fernández-Sanguino Peña e Frédéric Schütz.
União da seção 9.3 ("patches úteis do kernel") na seção 4.13 ("Adicionando patches no kernel"), e adicionado algum conteúdo.
Adicionados alguns TODOs adicionais
Adicionadas informações sobre como checar manualmente por atualizações e também sobre o cron-apt. Desta forma, o Tiger não é declarado como o único método de verificação de atualizações.
Regravação da seção sobre a execução de atualizações de segurança devido aos comentários de Jean-Marc Ranger.
Adicionada uma nota sobre a instalação da Debian (que sugere que o usuário execute uma atualização de segurança após a instalação).
Alterações feitas por Javier Fernández-Sanguino Peña.
Adicionado um patch contribuído por Frédéric Schütz.
Adicionadas algumas referências sobre capacidades. Agradecimentos a Frédéric.
Pequenas alterações na seção sobre o bind adicionando uma referência sobre a documentação on-line do BIND9 e referências apropriadas na primeira área (oi Pedro!)
Corrigida a data do changelog - ano novo :-)
Adicionada uma referência sobre o artigo do Colins para os TODOs.
Removida a referência para o antigo patch ssh+chroot
Mais patches de Carlo Perassi.
Correção de enganos (recursivo no Bind é recursão), apontados por Maik Holtkamp.
Alterações feitas por Javier Fernández-Sanguino Peña (me).
Reorganizadas informações sobre o chroot (unidas duas seções, não tem muito sentido tê-las em separado)
Adicionada as notas sober como executar o Apache em ambiente chroot por Alexandre Ratti.
Aplicação de patches contribuídos por Guillermo Jover.
Alterações feitas por Javier Fernández-Sanguino Peña (me).
Aplicados patches de Carlo Perassi, as correções incluem: nova quebra de linhas, correções de URL, e corrigidos alguns FIXMEs.
Atualizado o conteúdo da FAQ do time de segurança da Debian.
Adicionado um link para a FAQ do time de segurança da Debian e da referência do desenvolvedor da Debian, as seções duplicadas podem (apenas podem) serem removidas no futuro.
Corrigida a seção sobre auditoria manual com comentários de Michal Zielinski.
Adicionado links para lista de palavras (contribuídos por Carlo Perassi)
Corrigidos alguns enganos (outros mais estão por vir).
Corrigidos links TCP como sugerido por John Summerfield.
Alterações feitas por Javier Fernández-Sanguino Peña (me). Nota: Eu ainda tenho várias correções pendentes em minha caixa postal (que tem atualmente o tamanho de 5MB).
Algumas correções de erros contribuídas por Tuyen Dinh, Bartek Golenko e Daniel K. Gebhart.
Nota sobre rootkits relacionados com /dev/kmem contribuído por Laurent Bonnaud
Corrigidos enganos e FIXMEs contribuídos por Carlo Perassi.
Alterações feitas por Chris Tillman, tillman@voicetrak.com.
Alterações para melhorar a gramática/ortografia.
s/host.deny/hosts.deny/ (1 local)
Aplicado o patch de Larry Holish's (um pouco grande, corrige diversos FIXMEs)
Alterações feitas por Javier Fernández-Sanguino Peña (me).
Corrigidos alguns pequenos erros enviados por Thiemo Nagel.
Adicionada uma footnote sugerida por Thiemo Nagel.
Corrigido um link de URL.
Alterações feitas por Javier Fernández-Sanguino Peña (me). Existem muitas coisas aguardando em minha caixa postal para serem incluídos. assim estarei fazendo isso no lançamento de volta da lua de mel :)
Aplicado um patch enviado por Philipe Gaspar com relação ao Squid que também fecha um FIXME.
Sim, outro item da FAQ com relação a banners de serviços pego da lista de segurança debian-security (thread "Telnet information" iniciada em 26 de Julho de 2002).
Adicionada uma note com relação a referências cruzadas do CVE no item da FAQ Quanto tempo o time de segurança da Debian....
Adicionada uma nova seção relacionada a ataques ARP contribuída por Arnaud "Arhuman" Assad.
Novo item da FAQ com relação ao dmesg e logind e console pelo kernel.
Pequenos detalhes de informações relacionadas a checagem de assinaturas em pacotes (ele parecia não ter uma versão beta passada).
Novo item da FAQ com relação a falso positivo de ferramentas de checagem de vulnerabilidades.
Adicionadas nova seções ao capítulo que contém informações sobre assinatura de pacotes e reorganizando-as como um novo capítulo sobre Infraestrutura de Segurança na Debian.
Novo ítem da FAQ com uma comparação da Debian com outras distribuições Linux.
Nova seção sobre agentes de mensagem de usuários com funcionalidade GPG/PGP no capítulo ferramentas de segurança.
Esclarecimentos de como ativa senhas MD5 na woody, adicionadas referências à PAM assim também como uma nota relacionada a definição de max na PAM.
Adicionado um novo apêndice sobre como criar um ambiente chroot (após brigar um pouco com makejail e corrigindo, também, alguns de seus bugs), integradas informações duplicadas em todo o apêndice.
Adicionadas mais informações relacionadas ao chroot de SSH
e seu
impacto na transferência segura de arquivos. Algumas informações que foram
pegas da lista de discussão debian-security (da thread de Junho de 2002:
transferências de arquivos seguras).
Novas seções sobre como fazer atualizações automáticas em sistemas Debian assim também como dicas de uso de testing ou unstable relacionadas com atualizações de segurança.
Nova seção relacionada sobre como manter-se atualizado com patches de segurança na seção Antes do comprometimento assim como uma nova seção sobre a lista de discussão debian-security-announce mailing.
Adicionadas informações sobre como gerar automaticamente senhas fortes.
Nova seção com relação a usuários inativos.
Reorganização da seção sobre como tornar um servidor de mensagens mais seguro com base na discussão sobre instalação Segura/fortalecida/mínima da Debian (Ou "Porque o sistema básico é do jeito que é?") que ocorreu na lista debian-security (em Maio de 2002).
Reorganização da seção sobre parâmetros de rede do kernel, com dados fornecidos pela lista de discussão debian-security (em Maio de 2002, syn flood attacked?) e também adicionado um novo ítem da FAQ.
Nova seção sobre com verificar senhas de usuarios e que pacotes instalar para fazer isto.
Nova seção sobre a criptografia PPTP com clientes Microsoft discutido na lista debian-security (em Abril de 2002).
Adicionada uma nova seção descrevendo que problemas existem quando direciona um serviço a um endereço IP específico, esta informação foi escrita baseada em uma lista de discussão da bugtraq com a thread: Linux kernel 2.4 "weak end host" (anteriormente discutida na debian-security como "problema no") (iniciada em 9 de Maio de 2002 por Felix von Leitner).
Adicionadas informações sobre o protocolo versão 2 do ssh
.
Adicionadas duas sub-seções relacionadas a configurações seguras do Apache (coisas específicas a Debian, é claro).
Adicionada uma nova FAQ relacionada a soquetes simples, um relacionado a /root, um ítem relacionado ao grupo users e outra relacionada a log e permissões de arquivos de configuração.
Adicionada uma referência ao problem na libpam-cracklib que ainda pode estar aberto... (precisa ser verificado)
Adicionadas mais informações com relação a análise forense (pendente mais
informações sobre ferramentas de inspeção de pacotes como
tcpflow
).
Alterado o ítem "o que posso fazer com relação a comprometimento" na listagem e adicionado mais conteúdo.
Adicionadas mais informações sobre como configurar o Xscreensaver para bloquear a tela automaticamente após um tempo limite estabelecido.
Adicionada uma nota relacionada a utilitários que não deve instalar no sistema. Inclui uma nota relacionada ao Perl e porque ele não pode ser facilmente removido da Debian. A idéia veio após ler documentos do Intersects relacionado com o fortalecimento do Linux.
Adicionadas informações sobre o lvm e sistemas de arquivos com journaling, o ext3 é recomendado. No entanto, as informações lá devem ser muito genérica.
Adicionado um link para a versão texto on-line (verificar).
Adicionados mais alguns materiais com relação a informações sobre como fazer um firewall em um sistema local, levado por um comentário feito por Huber Chan na lista de discussão.
Adicionadas mais informações sobre a limitação do PAM e ponteiros aos documentos de Kurt Seifried's (relacionada a uma postagem por ele na bugtrack em 4 de Abril de 2002 respondendo a uma pessoa que "descobriu" uma vulnerabilidade na Debian GNU/Linux relacionada a esgotamento de recursos).
Como sugerido por Julián Muñoz, fornecidas mais informações sobre a umask padrão da Debian e o que um usuário pode acessar se tiver um shell em um sistema (provided more information on the default Debian umask and what a user can access if he has been given a shell in the system
Incluir uma nota na seção sobre senha de BIOS devido a um comentário de Andreas Wohlfeld.
Incluir patches fornecido por Alfred E. Heggestad corrigindo muitos dos erros ainda presentes no documento.
Adicionada uma referência ao changelog na seção créditos, pois muitas pessoas que contribuem estão listadas aqui (e não lá).
Adicionadas algumas notas a mais sobre a seção chattr e uma nova seção após a instalação falando sobre snapshots do sistema. Ambas idéias foram contribuídas por Kurt Pomeroy.
Adicionada uma nova seção após a instalação apenas para lembrar os usuários de alterar a seqüência de partida.
Adicionados alguns itens a mais no TODO, fornecidos por Korn Andras.
Adicionado uma referência as regras do NIST sobre como tornar o DNS mais seguro, fornecidas por Daniel Quinlan.
Adicionado um pequeno parágrafo relacionado com a infraestrutura de certificados SSL da Debian.
Adicionadas sugestões de Daniel Quinlan's com relação a autenticação
ssh
e configuração de relay do exim.
Adicionadas mais informações sobre como tornar o bind mais seguro incluindo alterações propostas por Daniel Quinlan e um apêndice com um script para fazer algumas das alterações comentadas naquela seção.
Adicionado um ponteiro a outro ítem relacionado a fazer chroot do Bind (precisam ser unidas).
Adicionada uma linha contribuída por Cristian Ionescu-Idbohrn para pegar pacotes com o suporte a tcpwrappers.
Adicionada um pouco mais de informações sobre a configuração padrão de PAM da Debian.
Incluída uma questão da FAQ sobre o uso de PAM para fornecer serviços sem contas shell.
movidos dois itens da FAQ para outra seção e adicionada uma nova FAQ relacionada com detecção de ataques (e sistemas comprometidos).
Incluídas informações sobre como configurar uma firewall ponte (incluindo um Apêndice modelo). Obrigado a Francois Bayart quem enviou isto para mim em Março.
Adicionada uma FAQ relacionada com o syslogd MARK heartbeat de uma questão respondida por Noah Meyerhans e Alain Tesio em Dezembro de 2001.
Incluídas informações sobre proteção contra buffer overflow assim como mais informações sobre patches de kernel.
Adicionadas mais informações e reorganização da seção sobre firewall. Atualização da informação com relação ao pacote iptables e geradores de firewall disponíveis.
Reorganização das informações disponíveis sobre checagem de logs, movidas as informações sobre checagem de logs de detecção de intrusão de máquinas para aquela seção.
Adicionadas mais informações sobre como preparar um pacote estático para o bind em chroot (não testado).
Adicionado um ítem da FAQ relacionado com servidores/serviços mais específicos (podem ser expandidos com algumas das recomendações da lista debian-security).
Adicionadas mais informações sobre os serviços RPC (e quando são necessários).
Adicionadas mais informações sobre capacidades (e o que o lcap faz). Existe alguma boa documentação sobre isto? e não encontrei qualquer documentação em meu kernel 2.4
Corrigidos alguns enganos.
Alterações feitas por Javier Fernández-Sanguino Peña.
Parte da seção sobre BIOS foi reescrita
Alterações feitas por Javier Fernández-Sanguino Peña.
Trocadas algumas localizações de arquivos com a tage de arquivo.
Corrigido problema notificado por Edi Stojicevi.
Leve alteração na seção sobre ferramentas de auditoria remota.
Adicionados alguns itens para fazer.
Adicionadas mais informações com relação a impressoras e o arquivo de configuração do cups (pego de uma thread na debian-security).
Adicionado um patch enviado por Jesus Climent com relação ao acesso de usuários válidos ao sistema no proftpd quando se está configurando um servidor anônimo.
Pequena alteração nos esquemas de partição para o caso especial de servidores de mensagens.
Adicionado uma referência do livro "Hacking Linux Exposed" na seção livros.
Corrigido um erro de diretório notificado por Eduardo Pérez Ureta.
Corrigido um erro na checklist do /etc/ssh observado por Edi Stojicevi.
Alterações feitas por Javier Fernández-Sanguino Peña.
Corrigida a localização do arquivo de configuração do dpkg.
Remoção do Alexander das informações de contato.
Adicionado um endereço alternativo de e-mails.
Corrigido o endereço de e-mail do Alexander
Corrigida a localização das chaves de lançamento (agradecimentos a Pedro Zorzenon por nos apontar isto).
Alterações feitas por Javier Fernández-Sanguino Peña.
Corrigidos problemas, agradecimentos a Jamin W. Collins.
Adicionada uma referência a página de manual do apt-extracttemplate (documenta a configuração do APT::ExtractTemplate).
Adicionada uma seção sobre o SSH restrito. Informações baseadas naquilo postadas por Mark Janssen, Christian G. Warden e Emmanuel Lacour na lista de segurança debian-security.
Adicionadas informações sobre programas de anti-vírus.
Adicionada uma FAQ: logs do su devido a execução do cron como usuário root.
Alterações feitas por Javier Fernández-Sanguino Peña.
Alterado o FIXME a partir do lshell agradecimentos a Oohara Yuuma.
Adicionados pacote a sXid e removido comentário pois ele *está* disponível.
Corrigido um número de erros descobertos por Oohara Yuuma.
ACID está agora disponível na Debian (a partir do pacote acidlab) obrigado a Oohara Yuuma por notificar isto.
Correção dos links da LinuxSecurity (agradecimentos a Dave Wreski pelo aviso).
Alterações feitas por Javier Fernández-Sanguino Peña. Eu queria altera-la para 2.0 quanto todos os FIXMEs estivessem corrigidos, mas esgotei os números 1.9x :(
Conversão do HOWTO em um Manual (agora eu poderei propriamente dizer RTFM)
Adicionadas mais informações com relação ao tcp wrappers e a Debian (agora
mutos serviços são compilados com suporte a eles assim não será mais um assunto
relacionado ao inetd
).
Esclarecidas informações sobre a desativação de serviços para torna-lo mais consistente (informações sobre o rpc ainda referenciadas ao update-rc.d)
Adicionada uma pequena nota sobre o lprng.
Adicionadas ainda mais informações sobre servidores comprometidos (ainda de uma forma grossa),
Corrigidos problemas reportados por Mark Bucciarelli.
Adicionados mais alguns passos sobre a recuperação de senhas para cobrir os casos onde o administrador tem a opção "paranoid-mode=on" ativada.
Adicionadas mais informações sobre como definir "paranoid-mode=on" quando executa o logon em um console.
Novo parágrafo para introduzir configuração de serviços.
Reorganização da seção Após a instalação assim ela será quebradas em diversos assuntos e será facilmente lida.
Escrever informações sobre como configurar firewalls com a configuração padrão da Debian 3.0 (pacote iptables).
Pequeno parágrafo explicando porque a instalação conectada a Internet não é uma boa idéia e como evitar isto usando ferramentas da Debian.
Pequeno parágrafo sobre patching referenciando um paper do IEEE.
Apêndice de como configurar uma máquina Debian com o snort, baseada no que Vladimir enviou para a lista de segurança debian-security (em 3 de Setembro de 2001)
Informações sobre como o logcheck é configurado na Debian e como ele pode ser configurado para realizar HIDS.
Informações sobre contabilização de usuários e análise de perfis.
Incluída a configuração do apt.conf para /usr somente leitura copiada da postagem de Olaf Meeuwissen's para a lista de discussão debian-security.
Nova seção sobre VPN com alguns ponteiros e pacotes disponíveis na Debian (precisa conteúdo sobre como configurar VPNs e assuntos específicos da Debian), baseada na postagem de Jaroslaw Tabor's e Samuli Suonpaa's post na lista debian-security.
Pequena nota com relação a alguns programas que podem construir automaticamente jaulas chroot.
Novo ítem da FAQ relacionado a ident, baseado em uma discussão na lista de discussão debian-security (em Fevereiro de 2002, iniciada por Johannes Weiss).
Novo ítem da FAQ com relação ao inetd
baseada em uma discussão da
lista de discussão debian-security (em Fevereiro de 2002).
Introduzida uma nota ao rcconf na seção "desabilitando serviços".
Variação da abordagem com relação a LKM, agradecimentos a Philipe Gaspar
Adicionado ponteiros a documentos do CERT e recursos
Alterações feitas por Javier Fernández-Sanguino Peña.
Adicionado um novo ítem da FAQ com relação ao tempo para se corrigir vulnerabilidades de segurança.
Reorganizada as seções da FAQ.
Iniciada a escrita de uma seção com relação a firewall na Debian GNU/Linux (pode ser um pouco alterada).
Corrigidos problemas enviados por Matt Kraai
Corrigidas informações relacionadas a DNS
Adicionadas informações sobre o whisker e nbtscan na seção auditoria.
Corrigidas algumas URLs incorretas
Alterações feitas por Javier Fernández-Sanguino Peña.
Adicionada uma nova seção sobre auditoria usando Debian GNU/Linux.
Adicionadas informações relacionadas ao daemon do finger a partir da lista de segurança.
Alterações feitas por Javier Fernández-Sanguino Peña.
Corrigido o link para o Linux trustees
Corrigidos problemas (patches de Oohara Yuuma e Pedro Zorzenon)
Alterações feitas por Javier Fernández-Sanguino Peña.
Reorganizada a instalação e remoção de serviços e adicionadas algumas novas notas.
Adicionadas algumas notas com relação ao uso de verificadores de integridade como ferramentas de detecção de intrusão.
Adicionado um capítulo com relação a assinatura de pacotes.
Alterações feitas por Javier Fernández-Sanguino Peña.
Adicionadas notas com relação a segurança no Squid enviada por Philipe Gaspar.
Corrigido os links sobre rootkit agradecimentos a Philipe Gaspar.
Alterações feitas por Javier Fernández-Sanguino Peña.
Adicionadas algumas notas com relação ao Apache e o Lpr/lprng.
Adicionadas mais informações com relação as partições noexec e read-only.
Reescrita a parte sobre como os usuários podem ajudar a Debian em assuntos relacionados a segurança (item da FAQ).
Alterações feitas por Javier Fernández-Sanguino Peña.
Corrigida a localização do programa mail.
Adicionados alguns novos itens na FAQ.
Alterações feitas por Javier Fernández-Sanguino Peña.
Adicionada uma pequena seção sobre como a Debian trabalha com a segurança
Esclarecimentos sobre as senhas MD5 (agradecimentos a "rocky")
Adicionadas mais informações com relação ao harden-X de Stephen van Egmond
Adicionados alguns novos itens a FAQ
Alterações feitas por Javier Fernández-Sanguino Peña.
Adicionadas mais informações de forense enviadas por Yotam Rubin.
Adicionadas informações sobre como construir um honeypot usando a Debian GNU/Linux.
Adicionados alguns TODOS a mais.
Corrigidos mais problemas (agradecimentos a Yotam!)
Alterações feitas por Javier Fernández-Sanguino Peña.
Adicionado um patch para corrigir problemas de escrita e algumas informações novas (contribuídas por Yotam Rubin)
Adicionadas referências a outras documentações online (e offline) ambas na seção (veja Esteja ciente dos problemas gerais de segurança, Seção 2.2) e junto com o texto em outra seções.
Adicionadas algumas informações sobre a configuração de opções do Bind para restringir o acesso ao servidor DNS.
Adicionadas informações sobre como fortalecer automaticamente um sistema Debian (com relação ao pacote harden e o bastille).
Removido alguns TODOs fechados e adicionados alguns novos.
Alterações feitas por Javier Fernández-Sanguino Peña.
Adicionada a lista padrão de usuários/grupos fornecidas por Joey Hess a lista de discussão debian-security.
Adicionadas informações a respeito de root-kits LKM (Loadable Kernel Modules (LKM), Seção 9.4.1) contribuído por Philipe Gaspar.
Adicionada informação a respeito do Proftp contribuído por Emmanuel Lacour.
Apêndice de checklist recuperado de Era Eriksson.
Adicionados alguns novos itens na lista TODO e removidos outros.
Incluir manualmente os patches e Era pois nem todos foram incluídos na seção anterior.
Alterações feitas por Era Eriksson.
Correção de erros e alterações de palavras
Alterações feitas por Javier Fernández-Sanguino Peña.
Pequenas mudanças em tags para manter a remoção de tags tt e sua substituição por tags prgn/package.
Alterações feitas por Javier Fernández-Sanguino Peña.
Adicionado ponteiro para documentos como publicado na DDP (deverá substituir o original em um futuro próximo).
Iniciada uma mini-FAQ (deverá ser expandida) com algumas questões recuperadas de minha caixa de mensagens.
Adicionadas informações gerais que devem ser consideradas durante a segurança.
Adicionado um parágrafo relacionado a entrega de mensagens locais (entrada).
Adicionadas algumas referências a mais informações.
Adicionadas informações com relação ao serviço de impressão.
Adicionada uma lista de checagem de fortalecimento de segurança.
Reorganizadas as informações a respeito de NIS e RPC.
Adicionadas mais novas notas durante a leitura deste documento em meu novo visor :-)
Corrigidas algumas linhas mal formatadas.
Corrigidos alguns problemas.
Adicionada a idéia do Genus/Paranóia contribuída por Gaby Schilders.
Alterações feitas por Josip Rodin e Javier Fernández-Sanguino Peña.
Adicionados parágrafos relacionados ao BIND e alguns FIXMEs.
Pequeno parágrafo sobre checagem de setuid
Várias pequenas limpezas
Encontrado como usar o sgml2txt -f para fazer a versão texto
Adicionada uma atualização de segurança após o parágrafo de instalação
Adicionado um parágrafo relacionado ao proftpd
Agora realmente escrevia algo sobre o XDM, desculpe pelo atraso
Várias correções gramaticais feitas por James Treacy, novo parágrafo sobre o XDM
Correção de erros, adições diversas
Lançamento inicial
Alexander Reelsen escreveu o documento original.
Javier Fernández-Sanguino adicionou mais informações ao documento original.
Robert van der Meulen forneceu parágrafos relacionados a quota e muitas boas idéias.
Ethan Benson corrigiu o parágrafo sobre PAM e adicionou boas idéias.
Dariusz Puchalak contribuiu com algumas informações para vários capítulos.
Gaby Schilders contribuiu com uma bela idéia geniosa/paranóica.
Era Eriksson suavizou idiomas em vários lugares e contribuiu com o apêndice com a lista de checagens.
Philipe Gaspar escreveu detalhes sobre LKM.
Yotam Rubin contribuiu com correções para muitos erros assim como com informações relacionadas a versões do bind e senhas md5.
Todas as pessoas que fizeram sugestões para melhorias que (eventualmente) serão incluídas aqui (veja Alterações/Histórico, Seção 1.6)
(Alexander) todas as pessoas que me encorajaram a escrever este HOWTO (que mais adiante se tornou em um Manual).
A todo o projeto Debian.
[ anterior ] [ Conteúdo ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ próximo ]
Securing Debian Manual
v3.1,mailto:jfs@debian.org