Encapsulando BIND 9 e Apache 2 para obter maior segurança
Utilizar encapsulamento (uma técnica de chroot) aumenta a segurança do servidor, pois, caso um invasor consiga explorar alguma vulnerabilidade do programa, o meliante não conseguirá ter controle total sobre o sistema.
[ Hits: 18.898 ]
Por: Buckminster em 13/01/2014
Conclusão
Veja que são vários comandos, porém, desta maneira fica bem evidente o encapsulamento, dando um rigor maior na segurança. Poderia ter encapsulado mais arquivos, poderia ter enjaulado o shell do sistema também (ou o bash, ou o sh, etc), porém, estaríamos beirando o limite de uma "neurose patológica".
Apesar de que, nesses casos, segurança nunca é demais. Além do que, lembre-se que em servidores, é imprescindível ter um Firewall bem configurado.
Com o comando mv, movemos os diretórios necessários (com os arquivos de configurações, inicialização, bibliotecas, etc) para outro diretório e depois, criamos um link simbólico (ln -s) de volta para o diretório movido.
Os diretórios named e jaula, foram criados à escolha do vivente, podendo alterar os nomes.
Recomenda-se alterar os caminhos também, por exemplo, os diretórios named e jaula, não precisam estar necessariamente em /var/lib, pode se colocá-los em /opt, /usr/local, pode-se criar um diretório em um lugar de sua escolha, etc.
Recomendo encapsular o BIND 9 em um diretório que esteja em um caminho diferente do encapsulamento do Apache 2. Aqui, foi colocado no mesmo diretório /var/lib para fins didáticos e de facilidade de entendimento.
Aconselho a fazer esse procedimento logo após instalar qualquer serviço e antes de fazer as configurações. Porém, nada impede que faça depois.
Existem outras técnicas de rodar o modo chroot, esta foi escolhida por adaptar-se à maioria das distribuições GNU/Linux, bastando apenas observar os arquivos e seus respectivos caminhos, pois às vezes, mudam de distribuição para distribuição.
E com esta técnica, não precisa instalar nenhum programa adicional para o modo chroot e não precisa rodar o comando chroot para entrar nele.
Os programas com seus respectivos processos ficam "enjaulados". E pode-se aplicar essa técnica em qualquer programa que se queria "enjaular".
Existem várias maneiras de aprimorar a segurança no GNU/Linux, essa aqui mostrada, é apenas mais uma delas.
Link para configurar o Debian em chroot:
Apesar de que, nesses casos, segurança nunca é demais. Além do que, lembre-se que em servidores, é imprescindível ter um Firewall bem configurado.
Com o comando mv, movemos os diretórios necessários (com os arquivos de configurações, inicialização, bibliotecas, etc) para outro diretório e depois, criamos um link simbólico (ln -s) de volta para o diretório movido.
Os diretórios named e jaula, foram criados à escolha do vivente, podendo alterar os nomes.
Recomenda-se alterar os caminhos também, por exemplo, os diretórios named e jaula, não precisam estar necessariamente em /var/lib, pode se colocá-los em /opt, /usr/local, pode-se criar um diretório em um lugar de sua escolha, etc.
Recomendo encapsular o BIND 9 em um diretório que esteja em um caminho diferente do encapsulamento do Apache 2. Aqui, foi colocado no mesmo diretório /var/lib para fins didáticos e de facilidade de entendimento.
Aconselho a fazer esse procedimento logo após instalar qualquer serviço e antes de fazer as configurações. Porém, nada impede que faça depois.
Existem outras técnicas de rodar o modo chroot, esta foi escolhida por adaptar-se à maioria das distribuições GNU/Linux, bastando apenas observar os arquivos e seus respectivos caminhos, pois às vezes, mudam de distribuição para distribuição.
E com esta técnica, não precisa instalar nenhum programa adicional para o modo chroot e não precisa rodar o comando chroot para entrar nele.
Os programas com seus respectivos processos ficam "enjaulados". E pode-se aplicar essa técnica em qualquer programa que se queria "enjaular".
Existem várias maneiras de aprimorar a segurança no GNU/Linux, essa aqui mostrada, é apenas mais uma delas.
Link para configurar o Debian em chroot:
Referências
- Gabriel Torres, Redes de Computadores, versão revista e atualizada. Editora Novaterra, 2010.
- Descritores Padrão de Arquivos « www.if.ufrgs.br
Páginas do artigo
1. Introdução2. BIND 9
3. Apache 2
4. Conclusão
Outros artigos deste autor
Instalar e Configurar o Slackware Linux em 2025
Manual do IPtables - Comentários e sugestões de regras
Leitura recomendada
Snort avançado: Projetando um perímetro seguro
Hardening, se adequando as normas ISO 27000
Jogando pesado na segurança de seu SSH
Como assinar digitalmente um documento criado no Br/OpenOffice
Seu maior inimigo é você mesmo!
Comentários
[1] Comentário enviado por xjc em 15/01/2014 - 20:46h
artigo incompleto . faltou instalar o tal jaula ou explicar . e explicar os comandos .
artigo incompleto . faltou instalar o tal jaula ou explicar . e explicar os comandos .
[2] Comentário enviado por Buckminster em 15/01/2014 - 21:55h
[1] Comentário enviado por xjc em 15/01/2014 - 20:46h:
artigo incompleto . faltou instalar o tal jaula ou explicar . e explicar os comandos .
Por gentileza, leia o artigo inteiro.
[1] Comentário enviado por xjc em 15/01/2014 - 20:46h:
artigo incompleto . faltou instalar o tal jaula ou explicar . e explicar os comandos .
Por gentileza, leia o artigo inteiro.
[3] Comentário enviado por cromado em 17/01/2014 - 21:46h
Instalar o tal "jaula" é de foder heinn ahueuuuhaehaue.
Mas de fato, eu achei a explicação confusa em relação ao encapsulamento, jaula, chroot, whatever.
Nada que um google não resolva, mas cara iniciante vai se perder sobre o funcionamento da coisa.
Instalar o tal "jaula" é de foder heinn ahueuuuhaehaue.
Mas de fato, eu achei a explicação confusa em relação ao encapsulamento, jaula, chroot, whatever.
Nada que um google não resolva, mas cara iniciante vai se perder sobre o funcionamento da coisa.
[4] Comentário enviado por Buckminster em 18/01/2014 - 05:51h
[3] Comentário enviado por cromado em 17/01/2014 - 21:46h:
Instalar o tal "jaula" é de foder heinn ahueuuuhaehaue.
Mas de fato, eu achei a explicação confusa em relação ao encapsulamento, jaula, chroot, whatever.
Nada que um google não resolva, mas cara iniciante vai se perder sobre o funcionamento da coisa.
Concordo. Mas subentende-se que para ""encapsular" qualquer programa através dessa técnica, o cara já tenha algum conhecimento de GNU/Linux. Ou seja, o cara já saiba instalar e configurar o programa desejado. E, para tanto, ele já deve possuir algum conhecimento, não tanto de comandos, mas de entendimento sobre o funcionamento do Linux.
Eu não quis me estender, pois daí o artigo se tornaria muito extenso. O ponto é justamente o funcionamento da coisa, e isso não tem como ensinar em um único artigo.
E, como você disse, mesmo um iniciante, com alguma boa vontade, nada que um Google não resolva.
[3] Comentário enviado por cromado em 17/01/2014 - 21:46h:
Instalar o tal "jaula" é de foder heinn ahueuuuhaehaue.
Mas de fato, eu achei a explicação confusa em relação ao encapsulamento, jaula, chroot, whatever.
Nada que um google não resolva, mas cara iniciante vai se perder sobre o funcionamento da coisa.
Concordo. Mas subentende-se que para ""encapsular" qualquer programa através dessa técnica, o cara já tenha algum conhecimento de GNU/Linux. Ou seja, o cara já saiba instalar e configurar o programa desejado. E, para tanto, ele já deve possuir algum conhecimento, não tanto de comandos, mas de entendimento sobre o funcionamento do Linux.
Eu não quis me estender, pois daí o artigo se tornaria muito extenso. O ponto é justamente o funcionamento da coisa, e isso não tem como ensinar em um único artigo.
E, como você disse, mesmo um iniciante, com alguma boa vontade, nada que um Google não resolva.
[5] Comentário enviado por px em 19/01/2014 - 04:49h
O ideal seria encapsular todo o computador! rsrs
Tem um "programa" chamado SELinux que faz um ótimo acréscimo á segurança no linux, talvez um tema para um futuro artigo! - mas como foi "criado" pela NSA e devido aos últimos acontecimentos... + minha preguiça fatídica ao escrever! KKKK
Ótimo artigo novamente, nota 10!
PS: To esperando aquele artigo voltado no Assembly, sem pressa brow... mas se apresse! rsrs
O ideal seria encapsular todo o computador! rsrs
Tem um "programa" chamado SELinux que faz um ótimo acréscimo á segurança no linux, talvez um tema para um futuro artigo! - mas como foi "criado" pela NSA e devido aos últimos acontecimentos... + minha preguiça fatídica ao escrever! KKKK
Ótimo artigo novamente, nota 10!
PS: To esperando aquele artigo voltado no Assembly, sem pressa brow... mas se apresse! rsrs
[6] Comentário enviado por Buckminster em 19/01/2014 - 20:30h
[5] Comentário enviado por px em 19/01/2014 - 04:49h:
O ideal seria encapsular todo o computador! rsrs
Tem um "programa" chamado SELinux que faz um ótimo acréscimo á segurança no linux, talvez um tema para um futuro artigo! - mas como foi "criado" pela NSA e devido aos últimos acontecimentos... + minha preguiça fatídica ao escrever! KKKK
Ótimo artigo novamente, nota 10!
PS: To esperando aquele artigo voltado no Assembly, sem pressa brow... mas se apresse! rsrs
Estou elaborando ele. Não me esqueci não.
[5] Comentário enviado por px em 19/01/2014 - 04:49h:
O ideal seria encapsular todo o computador! rsrs
Tem um "programa" chamado SELinux que faz um ótimo acréscimo á segurança no linux, talvez um tema para um futuro artigo! - mas como foi "criado" pela NSA e devido aos últimos acontecimentos... + minha preguiça fatídica ao escrever! KKKK
Ótimo artigo novamente, nota 10!
PS: To esperando aquele artigo voltado no Assembly, sem pressa brow... mas se apresse! rsrs
Estou elaborando ele. Não me esqueci não.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
librePods: liberte seus AirPods em 2026
Bluefin - A nova geração de ambientes de trabalho Linux
Como atualizar sua versão estável do Debian
Dicas
Configurar aviso da temperatura da CPU no Conky
Pós-instalação do elementary OS 8.1
Quer auto-organizar janelas (tiling) no seu Linux? Veja como no Plasma 6 e no Gnome
Copiando caminho atual do terminal direto para o clipboard do teclado
Tópicos
Registro do 'last&qu... errado (8)
Conky não mostra temperaturas da CPU no notebook (12)
O WiFi não reconhece minha rede depois que o processo de suspensão é r... (2)
Top 10 do mês
-
Xerxes
1° lugar - 153.413 pts -
Fábio Berbert de Paula
2° lugar - 67.190 pts -
Buckminster
3° lugar - 24.587 pts -
Alberto Federman Neto.
4° lugar - 21.440 pts -
Mauricio Ferrari
5° lugar - 20.506 pts -
Daniel Lara Souza
6° lugar - 19.156 pts -
edps
7° lugar - 18.845 pts -
Andre (pinduvoz)
8° lugar - 16.942 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 17.449 pts -
Diego Mendes Rodrigues
10° lugar - 15.551 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
