OI
Vlw da resposta mas acho q não me expressei bem.
--- Cesar <[EMAIL PROTECTED]> escreveu:
> Bom, não sou expert em segurança mas vou tentar
> ajudar.
Eu tmb não mas leio constantemente sobre o assunto
> Existem ferramentas para checar se o sistema esta
> comprometido, procure por chkrootkit.
Você ta falando de anti-rootkit de forma muito
generica, eu me refiro aos metodos da palestra. Se o
chkrootkit ja não acho uns rootkits normais no meu
Fedora, imagine esses jeitos locos em imagens, com
criptografia... sem falar no de bios e de oracle! o.O
> Administrar corretamente o sistema também ajuda a
> manter a segurança, por exemplo manter o sistema
>atualizado, ficar atento a atualizações de
> segurança, ficar atento aos logs. Não ser
> complacente quando se trata de
> segurança, etc.
Blz, mas a minha duvida nao eh sobre como q faz pra
proteger pra ser invadido, mas caso um cracker entre
no meu linux e use esses metodos qq eu faço pra
detecta?
> O fato é que depois que alguem conseguir entrar no
> seu sistema ele esta
> comprometido irremediavelmente, você nunca mais vai
> poder confiar naquela
> instalação. A única coisa a fazer é rever os
> procedimentos de segurança,
> descobrir qual foi a falha e reinstalar o sistema do
> zero. Você deve focar em
> barrar os intrusos, depois que ele tem acesso de
> root não dá mais :-D
:(
> Entretanto, procurando aqui no histórico da lista
> encontrei algumas coisas que
> escrevi a alguns anos e devem ajudar... fiz apenas
> pequenas atualizações na
> minha lista original.
>
> - Usar o MD5 para colher as assinaturas de todos os
> arquivos importantes e
> salvar em um sistema off-line, de tempos em tempos
> rodar um script para
> verificar se algo foi alterado. sempre que alterar
> alguma coisa atualizar a
> assinatura desse arquivo no sistema off-line. É
> possível para um intruso
> fazer um arquivo ter a mesma assinatura MD5 que o
> original mas no mínimo
> complica a vida dele.
num adianta nada...no slide tem md5 fraudado e ate
exemplo pra download :(
sha1 tmb tem esses problemas?
> - Arquivos que não devem ser alterados são marcados
> com atributo +i
> (immutable), isso também inclui alguns diretórios
> que contem arquivos
> críticos (o atributo é aplicado nos arquivos e no
> próprio diretório). Além
> disso as partições que não devem ser alteradas são
> montadas como apenas para
> leitura (ro, read only), claro que um intruso pode
> desmontar e montar
> novamente a partição e remover os atributos mas
> depois que ele esta dentro só
> podemos complicar a vida dele.
chattr -i file && mount -o remount,rw /partição
:(
> - Arquivos que contem informações criticas como
> senhas e outras coisas
> secretas devem ser criptografados com o gpg (com uma
> frase chave enorme, mas
> de 40 digitos e que so o responsável deve saber, não
> deve estar anotada em
> lugar nenhum e não deve ser referencia a nada). Além
> disso esses arquivos
> devem ser marcados com o atributo +s (secure
> deletion). Se o sistema não for
> pessoal, uma empresa por exemplo esses arquivos
> devem estar assinados por
> mais de uma chave gpg e no mínimo dois funcionários
> de confiança devem
> conseguir abrir os arquivos usando sua assinatura.
> Esses funcionários não
> podem pegar o mesmo avião em uma viagem por exemplo.
> :-D
essa eu gostei kakakaka
> - Os códigos usados no sistema devem ser auditados,
> existem ferramentas que
> procuram automaticamente por por possíveis códigos
> maliciosos ou falhas como
> gets() vulneráveis a buffer overflow, etc. Quando um
> sistema é desenvolvido
> sob os cuidados da empresa o programador deve fazer
> o melhor trabalho
> possível, sanando todos os warnings do compilador,
> etc.
Isso eh dificil em... tipo meu Fedora ja vem com todos
pacotes, ja penso se eu tive q faze isso com todos...
num vo usa linux... ate recompila todos e corrigi vo
passa o resto da vida...
> - Backups devem ser feitos periodicamente, uma cópia
> deve ser levada para fora
> da empresa e ficar em um lugar seguro e distante, um
> cofre na casa de um dos
> diretores ou em um banco seria o ideal. (eu costumo
> usar um backup on-line
> incremental a cada três horas e um completo toda
> semana. O semanal é gravado
> em DVDs double layer e levados para fora da
> empresa). Alem do MD5 você pode
> usar o diff e os backups para saber o que foi
> alterado em caso de suspeitar
> de uma invasão. Em Agosto de 2003 o Thiago Macieira
> aqui nessa mesma lista
> deu a idéia de colocar o /etc em um repositório CVS,
> é uma ótima idéia,
> principalmente porque isso protege também de erros
> que você mesmo possa ter
> cometido enquanto configurava alguma coisa.
Num entendi o negocio do cvs. qual vantagem de ter o
/etc no cvs?
obs: num sei nada de cvs...
> - Administradores paranóicos de verdade usam
> firewall em modo
> paranóico: iptables -P OUTPUT DROP
>
> E existem centenas de outras coisas que podem ser
> feita para tornar seu
> sistema blindado, é uma questão de fazer uma analise
> de risco e avaliar
> quanto aquele sistema é um alvo em potencial, isso
> para não gastar tempo e
> dinheiro blindando um sistema que tem um risco
> mínimo de ser comprometido,
> por exemplo eu não vou comprar seguro contra
> enchentes já que estou no décimo
> andar.
faz sentido :)
> Quanto ao Windows, deixo para outro comentar. >:)
alguem se habilita?
> Abraços!
Vlwwwwwwwwwwwwwwwwwww
>
> --
> Cesar Gimenes
> Linux user #76132
_______________________________________________________
Abra sua conta no Yahoo! Mail: 1GB de espaço, alertas de e-mail no celular e
anti-spam realmente eficaz.
http://br.info.mail.yahoo.com/
---------------------------------------------------------------------------
Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br
Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utilização da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html
