Trabalhar com segurança de informação, ou pelo menos pesquisar, estudar e testar muito isso, requer fazer alguns procedimentos para que a máquina não facilite a vida de um possível visitante indesejado. Antes de pensar em ferramentas, precisamos pensar na máquina crua, no post_install().

Primeiro de tudo, independente da distribuição, a maioria dos arquivos base são os mesmos, como fstab, login.defs, securetty… Então, vamos precisar melhorar o que vem de genérico numa instalação, pois você em seu desktop pode não se incomodar em ter alguns padrões no seu linux, mas um sysadmin precisa se preocupar.

Tudo é questão de configuração geral, então estaremos tratando do diretório /etc lógico. Começe pelos seguintes arquivos:

login.defs:

#Permite uma nova tentativa de login em 5 segundos no caso de falha
FAIL_DELAY 5
#Registra também contas de usuário falsas quando há tentativas de login com falhas
LOG_UNKFAIL_ENAB yes
#Registra também logins realizados com sucesso
LOG_OK_LOGINS yes
#Define /var/log/sulog como arquivo que detêm os registros do uso de su
SULOG_FILE /var/log/sulog
#Registra tentativas de mudança de usuário
SYSLOG_SU_ENAB yes

host.conf:

#Procura os nomes primeiro no DNS, depois no arquivo local
order bind, hosts
#Retorna todos os endereços válidos para uma máquina
multi on
#Tenta impedir spoofing de hostname
nospoof on
#Gera mensagem de alerta no caso de spoofing utilizando o syslog
spoofalert on

securetty:

# cp /etc/securetty{,.old}
# >/etc/securetty

#Permite que o root logue apenas uma vez em apenas um terminal
#Se você não quer que o root faça login, comente as linhas abaixo
console
vc/1

shells:

#Habilite somente os shells que você usa
/bin/bash
/bin/sh
#Somente se você usar screen
/bin/screen

Desative o suid em partições home, var, tmp:

fstab:
Utilize as opções abaixo nas respectivas partições:

/var	        nosuid,nodev,noexec
/home           nosuid,nodev
/usr	        nodev

#Exemplo de partição:
/dev/sdb1 /home reiserfs nodev,nosuid,auto 1 2

Retire todos os usuários que não possuem shell válida e são inúteis (como games, irc, list, lp etc).

Você deve impedir reinicalização com ctrl+alt+del (após isso, precisa fazer #init q):

inittab:

#Comentar a linha abaixo:
#a::ctrlaltdel:/sbin/shutdown -t3 -r now

Configure o ntp para sincronizar hora em um dos servidores da RNP (eu os considero muito confiáveis).

Adicione o conteúdo abaixo no /etc/profile:

TMOUT=3600
export TMOUT

ssh/sshd_config:

#Configure uma porta diferente da 22
Port 2130
#Por favor, utilize a versão 2…
Protocol 2
#Define o tempo máximo que o usuário tem para digitar a senha
LoginGraceTime 30
#Não permite que root logue via ssh
PermitRootLogin no
#Não permite senhas em branco
PermitEmptyPasswords no
#Impede que se use a interface gráfica via ssh
X11Forwarding no

Continua no próximo capítulo…

Enviar artigo em PDF para

O que é Software Livre? Como posso usar? Porque não preciso pagar para usá-lo? Esse modelo realmente é interessante? Essas e outras perguntas poderão ser respondidas durante o Software Freedom Day 2008. Onde terá como foco a disseminação do conhecimento em software livre.

Em paralelo com outras cidades do mundo, realizaremos o Software Freedom Day no dia 20 de setembro de 2008 no campus da paralela da Universidade Salvador (Unifacs).

Irei ministrar a palestra Arch Linux – Uma distribuição otimizada para i686, juntamente com meu amigo Hugo Dória (sim, a mesma do FISL9). Outras palestras serão sobre: Projeto Fedora Brasil, Pfsense, Ruby on Rails, Asterisk e outras. Também teremos um minicurso de Inkscape e outro sobre GIMP.

Maiores informações:

• Local: Universidade Salvador (Unifacs) PA9
• Endereço: Av. Luiz Viana Filho, 3100, Paralela – Salvador – Bahia
• Website: http://softwarefreedomday.org/teams/Bahia
• Data: 20/09/2008
• Horário: De 09:00 às 18:00 horas

Inscrições

Enviar artigo em PDF para

Há algum tempo eu escrevi um post sobre configurações de rede no VirtualBox. Bem, para que meu host tivesse contato com a guest preciso de uma conexão do tipo Host Interface (ou bridge). Mas fazer bridge no VB é muito sofrido e eu sempre acabava procurando o artigo de novo pra me lembrar dos comandos.

Fui brincar de automatizar o processo. Fazer all-in-one é o melhor para quem quer administrar alguma coisa. Daí eu pensei: “porque não levantar a VM sem precisar da interface gráfica?”. É o chamado modo HeadLess, em que você faz tudo sem depender da interface (como o VMware Server). Então resolvi fazer o script e deixar arrumadinho. Então, baixei o script aqui: bridge_virtualbox.

Bem, o que o script faz é basicamente tudo o que o outro post faz e mais levantar a VM que foi chamada.

Um comando fala mais que mil palavras:

$ bridge_virtualbox -h
Make the host IFACE network up.
Turn on the [tun] module and get up the virtual [tap0] interface.
Makes a bridge with fisical and the virtual network adapter.

Usage: bridge_virtualbox
bridge_virtualbox –help

List of disponible Virtual Machines:
1. archlinux
2. arch_new

That’s all folks!

Enviar artigo em PDF para

Finalmente, depois de muitos atendentes da Oi e problemas com muitas outras coisas, consegui ter internet. Internet para onde eu quiser levar! Um modem USB portátil da Vivo. Peguei o plano Vivo Flash ilimitado por R$ 99,00 (sei que o título diz VivoZap. . .). O detalhe: a Yiso não tem mais aqueles deskmodem’s feios e gigantes, então eles estão dando o mesmo modem que dão ao pessoal do VivoZap (mesmo serviço por R$ 139,00 !!!). Então peguei um Aiko 76E por R$ 10,00 (desde que fique 12 meses com a Vivo).

Chego em casa, plugo o bichinho e funciona! . . . no Windows. Não é uma maravilha, até porque aqui em casa celular pega uma porcaria, mas fiquei pasmem quando pegou sem falhas no meu quarto! Explico: meu quarto é ponto cego para qualquer operadora, celular nem sequer toca se tiver lá dentro! Bem, depois de usar bastante (velocidades melhores que discada e sem instabilidade), fui tentar no Linux. Tentei tudo que era tutorial que achei pro bichinho e nada de funcionar! Tentei configurar algo no /etc/ppp/peers/, tentei usar o KPPP (que travava a máquina completamente quando tentava matar o daemon pppd). Até que fui tentar o gnome-ppp e. . . funcionou! Incrível como funcionou de prima! Então vi que ele gera um arquivo ~/.wvdial.conf para discar. Foi só copiar para /etc/wvdial.conf, assim como o arquivo /etc/ppp/pap-secrets e voalááááá!

Abaixo está a configuração do wvdial.conf usada:

[Dialer Defaults]
Modem = /dev/ttyUSB0
ISDN = off
Modem Type = USB Modem
Baud = 460800
Init = ATX3
Init2 = ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0
Phone = #777
Dial Attempts = 1
Dial Command = ATM0L0DT
Ask Password = off
Password = vivor

A configuração do /etc/ppp/pap-secrets:

[seu numero]\@vivozap\.com\.br * vivo

Também criei um pequeno script para levantar o módulo corretamente, assim como criar o device /dev/ppp, se você parar a conexão ou ela cair, desplugue o modem e replugue, depois execute o script abaixo:

#!/bin/bash
modprobe -r usbserial
modprobe usbserial vendor=0×19d2 product=0xfffe
if [ ! -e /dev/ppp ]; then
echo “criando /dev/ppp”
mknod /dev/ppp c 108 0
fi
echo “device pronto!”

Enviar artigo em PDF para

Aproveitando o gancho do Hugo Dória com o Instalando o virtualbox no Arch Linux, vamos à parte chata boa.

Começando pela configuração de rede, que depende do que você deseja para sua guest machine. O vbox disponibiliza 3 tipos: Network Address Translation (NAT), Host Inferface (bridge) e Internal Networking (bridge seguro).

Continue reading this post…

Enviar artigo em PDF para