Construindo um Firewall / Proxy com o Fedora Core 4

s4ndr0

O objetivo deste documento é mostrar a instalação e configuração de um servidor que será firewall e proxy. O sistema utilizado será o Fedora Core 4. Como o propósito é a segurança, todas as configurações necessárias para tornar este servidor o mais seguro possível serão realizadas.

[ Hits: 83.089 ]

Por: Sandro Venezuela em 10/02/2006

0 0

Denuncie Favoritos Indicar Impressora

Procedimento de Segurança Pós-Instalação

Com o fim da instalação do servidor, vamos armazenar uma lista de todos os pacotes que foram instalados. Para isto usaremos o seguinte comando:

# rpm -qa >> pacotes_instalados.txt

Em seguida, iremos armazenar uma lista de todos os arquivos com SUID e SGID configurados, com o propósito de realizarmos varreduras futuras, verificando a existência de novos arquivos, que podem ser possíveis backdoors. Para isto, usaremos os comandos abaixo:

# find / -type f -perm -4000 >> arquivos_suid.txt
# find / -type f -perm -2000 >> arquivos_sgid.txt

O próximo passo, consiste em limitar o acesso ao servidor, onde primeiro vamos editar o arquivo /etc/inittab e diminuir a quantidade de terminais, deixando somente dois, de acordo com as linhas abaixo:

# Run gettys in standard runlevels
1:2345:respawn:/sbin/mingetty tty1
2:2345:respawn:/sbin/mingetty tty2
#3:2345:respawn:/sbin/mingetty tty3
#4:2345:respawn:/sbin/mingetty tty4
#5:2345:respawn:/sbin/mingetty tty5
#6:2345:respawn:/sbin/mingetty tty6

No mesmo arquivo, vamos impedir o uso das teclas CTRL+ALT+DEL, para isto basta comentar a linha:

# Trap CTRL-ALT-DELETE
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

Para finalizar esta etapa, iremos criar um usuário, por exemplo, sysadmin, que será utilizado para entrar no sistema. O comando necessário seria:

# adduser -m sysadmin

Por padrão, ao criar o usuário acima, é criado também um grupo com o mesmo nome, ou seja, sysadmin. Depois bloquearemos o acesso para o usuário root, comentando todas as linhas do arquivo /etc/securetty. Melhorando um pouco, vamos limitar a quantidade de usuários, pertencentes ao grupo sysadmin, logados no sistema, através do arquivo /etc/security/limits.conf, onde acrescentaremos a seguinte linha:

@sysadmin hard maxlogins 1

A linha acima vai permitir somente um único usuário do grupo sysadmin logado no sistema. Lembrando que depois de todos os passos descritos anteriormente, não será mais permitido o acesso direto ao sistema pelo usuário root, então vale testar se realmente o novo usuário sysadmin consegue acesso ao sistema antes de reiniciar o servidor.

O próximo passo consiste em limitar algumas partições, como /home, /tmp e /var/log, fazendo que não seja possível executar qualquer binário ou shell-script que pertença à estas partições. Para isto, edite o arquivo /etc/fstab e acrescente os parâmetros nosuid, noexec e nodev em cada partição descrita acima, como mostrado abaixo:

LABEL=/home /home ext3    nosuid,noexec,nodev,defaults   1 2
LABEL=/tmp  /tmp  ext3    nosuid,noexec,nodev,defaults   1 2
LABEL=/var  /var  ext3    nosuid,noexec,nodev,defaults   1 2

Finalizando, vamos atualizar o sistema, com o uso do comando yum, é claro que o mesmo já deve estar navegando pela internet.

# yum update

Página anterior Próxima página

Páginas do artigo

   1. Instalação do Fedora Core 4
   2. Procedimento de Segurança Pós-Instalação
   3. Configuração do Firewall
   4. Configuração do Proxy
   5. Outras configurações
   6. Considerações Finais

Outros artigos deste autor

Configurando uma VPN IPSec Openswan no SUSE Linux 9.3

Integrando o Amavisd-new, SpamAssassin e ClamAV com o Postfix no SuSE 9.3

Instalando a placa de rede wireless DWL-G520+ no Fedora Core 3

Instalando o QEMU no Fedora Core 4

Leitura recomendada

L7-filter (funcionando) no Slackware 10.2

Controlando 2 links de internet (roteados) em um gateway Linux com SQUID

Firewall com Iptables: direto ao assunto (RHEL5 e Fedora)

Mandrake Firewall - Firewall com interface amigável

Configurando o iptables-p2p no Slackware

Comentários

[1] Comentário enviado por removido em 13/02/2006 - 01:24h

interessante sua dica de segurança de "pós instalação", gostei do artigo.
e como tu escreveveu que sugestões são bem vindas, creio que poderias ter entrado pelo menos um pouco no "famoso" squid.

0 0

[2] Comentário enviado por agk em 14/02/2006 - 09:55h

Muito bom, bastante abrangente, o script de firewall está bem completo, parabéns.

0 0

[3] Comentário enviado por james_avelar em 02/08/2006 - 20:05h

PÓS INSTALAÇÂO FC4

Brother fiz tudo ai certinho!!
Mas depois de reiniciar o FC4 não consegue montar:
LABEL=/home
LABEL=/tmp
LABEL=/var

Ai tem de entrar e reparar o sistema de arquivos, ai não sei como fazer, pois tentei re-editar o /etc/fstab e não consigo!!
Espero uma luz ai pq preciso usar o FC4 ainda amanhã!!
t+++

0 0

[4] Comentário enviado por leloguitar em 29/08/2006 - 11:01h

ETH0="192.168.0.0/24"
NET="0/0"

essa variavel eth0 se refere a rede, entao se minha rede for a eth1 no caso seria

ETH1="192.168.0.0/24"
NET="0/0"

???

serve pra squid autenticado tb???
proxy_auth ???

0 0

[5] Comentário enviado por rdebraga em 13/08/2007 - 18:48h

no caso de eu usar duas placas de rede uma com Ip válido e outra com ip invalido como fica a configuração ?

att

0 0

[6] Comentário enviado por kikoxela em 20/01/2009 - 10:46h

Nosssa esse tutorial é demais estava com umas duvida e estou entendendo melhor como rola cada coisa legal parabens pelo tutorial .
realmente bom .
como voce mesmo disse da para deixar mais seguro vou procura saber ai vou postar.
blz .

0 0