Começando com administração do servidor, quarta parte.

1 01America/Sao_Paulo março 01America/Sao_Paulo 2018 Off Por Sidney silva santos

Abrir o sistema para permitir que usuários remotos o acessem através da rede não é uma decisão que você deve tomar sem as devidas considerações. Há crackers por todo o  mundo rodando programas para procurar servidores vulneráveis que eles possam invadir para roubar dados ou capacidade de processamento. Felizmente, há medidas que você pode adotar em sistemas Linux para proteger seus servidores e serviços contra ataques e abusos.

“Aprendendo técnicas de segurança do Linux”.

Proteção por senha — Boas senhas e políticas de senha são a primeira linha de defesa para proteger um sistema Linux. Se alguém pode fazer logon em seu servidor via ssh como o usuário root com a senha foobar, espere ser invadido. Uma boa técnica é não permitir login direto por root e exigir que cada usuário faça login como um usuário comum e depois usar su ou sudo para se tornar root.

Você também pode usar o recurso Pluggable Authentication Module ( PAM ) para ajustar o número de vezes que alguém pode errar nas tentativas de login antes de bloquear o acesso a essa pessoa. O PAM também inclui outros recursos para bloquear a autenticação em seu servidor Linux.

Firewalls — O serviço de firewall iptables pode acompanhar e responder a todos os pacotes indo e vindo das placas de rede em seu computador. Usando iptables , você pode descartar ou rejeitar todos os pacotes fazendo solicitações de serviços em seu sistema, exceto para aqueles poucos que você habilitou. Além disso, você pode dizer para o iptables permitir solicitações de serviço apenas de determinados endereços IP (os caras bons) ou não permitir solicitações de outros endereços (os caras maus).

Em cada um dos próximos capítulos sobre servidor, descrevo as portas que devem ser abertas para permitir o acesso aos serviços.

TCP Wrappers — Usando os arquivos /etc/hosts.allow e /etc/hosts.deny, você pode permitir ou negar o acesso a esses serviços que têm os recursos de TCP Wrappers habilitados ( libwrap ). O acesso pode ser permitido ou negado com base no endereço IP ou nome do host.

SELinux — Fedora, Red Hat Enterprise Linux e outras distribuições Linux vêm com o recurso Security Enhanced Linux (SELinux) incluso e em modo Enforcing.

Embora o modo direcionado padrão não tenha muito impacto sobre a maioria dos aplicativos que você roda no Linux, ele tem um grande impacto sobre a maioria dos principais serviços.

Uma das principais funções do SELinux é proteger o conteúdo de seu sistema Linux contra processos em execução no sistema. Em outras palavras, o SELinux garante que um servidor web, FTP, Samba ou DNS possa acessar apenas um conjunto restrito de arquivos no sistema (conforme definido por contextos de arquivos) e permitir apenas um conjunto restrito de recursos (conforme definido por opções booleanas).

“Aumentando a segurança do Linux com o SELinux”.

Configurações de segurança em arquivos de configuração — Dentro dos arquivos de configuração da maioria dos serviços estão valores que podem ser configurados para proteger ainda mais esses serviços. Por exemplo, para servidores de arquivos e servidores web, você pode restringir o acesso a determinados arquivos ou dados com base no nome de usuário, nome de host, endereço IP do cliente ou outros atributos.

Anúncios