[ anterior ] [ Conteúdo ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ próximo ]
Após ler todas as informações dos capítulos anteriores você deve estar pensando "Eu tenho que fazer muitas coisas para ter meu sistema fortalecido, estas coisas não poderiam ser automatizadas?". A resposta é sim, mas tenha cuidado com ferramentas automatizadas. Algumas pessoas acreditam que uma ferramenta de fortalecimento não elimina a necessidade de uma boa administração. Assim não seja tolo em pensar que pode automatizar todo o processo e corrigir todos os problemas relacionados a ele. Segurança é um processo progressivo no qual o administrador deve estar participando e não somente ficar a espera deixando que as ferramentas façam todo o trabalho, já que nenhuma ferramenta poderia fazer: todas as implementações de políticas de segurança possíveis, cobrindo todos os ataques e todos os ambientes.
Desde a woody (Debian 3.0) existem dois pacotes específicos que são úteis para
o fortalecimento do sistema. O pacote harden
que tem sua
estratégia baseada na dependência de pacotes para rapidamente instalar pacotes
de segurança importantes e remover os que tem problemas de segurança, a
configuração de pacotes deve ser feita pelo administrador. O pacote
bastille
que implementa uma dada política de segurança no sistema
local baseada na configuração anterior do administrador (a construção da
configuração pode ser feita usando um processo guiado com questões simples no
estilo sim/não).
O pacote harden
tenta tornar a instalação e administração fácil
para máquinas que precisam de boa segurança. Este pacote deve ser usado por
pessoa que desejam uma ajuda rápida para melhorar a segurança do sistema. Para
fazer isto, ele conflita com pacotes com falhas conhecidas, incluindo (mas não
limitado a): falhas conhecidas de segurança (como estouro de buffer), uso de
senhas em texto plano, esquecimento de controle de acesso, etc. Ele
automaticamente instala algumas ferramentas que aumentam a segurança de alguma
forma: ferramentas de detecção de intrusão, ferramentas de análise de
segurança, etc. O Harden instala os seguintes pacotes virtuais (por
exemplo pacotes sem conteúdo, que apenas dependem de outros):
harden-tools
: ferramentas para aumentar a segurança do sistema
(verificadores de integridade, detectores de intrusão, patches de kernel...)
harden-doc
: fornece este mesmo manual e outros pacotes de
documentação relacionados a segurança.
harden-environment
: ajuda a configurar um ambiente fortalecido
(atualmente vazio).
harden-servers
: servidores remotos considerados inseguros por
alguma razão.
harden-clients
: exclui clientes considerados inseguros por alguma
razão.
harden-remoteflaws
: exclui pacotes com furos de segurança
conhecidos que podem ser usados por um invasor para comprometer o sistema (usa
Conflicts: sobre versões).
harden-localflaws
: exclui pacotes com problemas de segurança que
podem ser usados por um invasor local para comprometer o sistema (usa
Conflicts: sobre versões).
harden-remoteaudit
: ferramentas para fazer a auditoria remota de
um sistema.
Tenha cuidado se tiver um programa que precisa (e que não deseja desinstalar
por alguma razão) e que ele conflite com alguns dos pacotes acima, assim não
será capaz de fazer uso completo do harden
. Os pacotes do harden
não fazem (diretamente) coisa alguma. Eles realizam, no entanto, conflitos com
pacotes conhecidamente inseguros. Desta forma, o sistema de empacotamento da
Debian não aprovará a instalação destes pacotes. Por exemplo, quando tenta
instalar um daemon telnet com o harden-servers
o apt
dirá:
# apt-get install telnetd The following packages will be REMOVED: harden-servers The following NEW packages will be installed: telnetd Do you want to continue (Y/n)
Isto deverá deixar o administrador mais tranqüilo, reconsiderando suas ações que serão tomadas.
O Bastille Linux
é uma
ferramenta de fortalecimento originalmente orientada sobre as distribuições
RedHat e Mandrake. No entanto o pacote bastille
fornecido com a
Debian (desde a woody) é adaptado para fornecer a mesma funcionalidade para o
sistema Debian GNU/Linux.
O Bastille pode ser usado com diferentes interfaces com o usuário (todas são documentadas em sua própria página de manual no pacote da Debian) que permite o administrador a:
Responder questões passo a passo sobre a segurança requerida pelo seu sistema
(usando InteractiveBastille(8)
)
Usar a configuração padrão de segurança (entre três: Fraca, Moderada, e
Paranóica) em um determinado sistema (servidor e estação de trabalho) e deixar
o Bastille decidir que política de segurança que será implementada (usando
BastilleChooser(8)
)
Pegar um arquivo de configuração pré-definido (deve ser fornecido pelo Bastille
ou feito pelo administrador) e implementar uma política de segurança
determinada (usando AutomatedBastille(8)
)
[ anterior ] [ Conteúdo ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ próximo ]
Securing Debian Manual
v3.1,mailto:jfs@debian.org