Encapsulando BIND 9 e Apache 2 para obter maior segurança
Utilizar encapsulamento (uma técnica de chroot) aumenta a segurança do servidor, pois, caso um invasor consiga explorar alguma vulnerabilidade do programa, o meliante não conseguirá ter controle total sobre o sistema.
Parte 4: Conclusão
Veja que são vários comandos, porém, desta maneira fica bem evidente o encapsulamento, dando um rigor maior na segurança. Poderia ter encapsulado mais arquivos, poderia ter enjaulado o shell do sistema também (ou o bash, ou o sh, etc), porém, estaríamos beirando o limite de uma "neurose patológica".
Apesar de que, nesses casos, segurança nunca é demais. Além do que, lembre-se que em servidores, é imprescindível ter um Firewall bem configurado.
Com o comando mv, movemos os diretórios necessários (com os arquivos de configurações, inicialização, bibliotecas, etc) para outro diretório e depois, criamos um link simbólico (ln -s) de volta para o diretório movido.
Os diretórios named e jaula, foram criados à escolha do vivente, podendo alterar os nomes.
Recomenda-se alterar os caminhos também, por exemplo, os diretórios named e jaula, não precisam estar necessariamente em /var/lib, pode se colocá-los em /opt, /usr/local, pode-se criar um diretório em um lugar de sua escolha, etc.
Recomendo encapsular o BIND 9 em um diretório que esteja em um caminho diferente do encapsulamento do Apache 2. Aqui, foi colocado no mesmo diretório /var/lib para fins didáticos e de facilidade de entendimento.
Aconselho a fazer esse procedimento logo após instalar qualquer serviço e antes de fazer as configurações. Porém, nada impede que faça depois.
Existem outras técnicas de rodar o modo chroot, esta foi escolhida por adaptar-se à maioria das distribuições GNU/Linux, bastando apenas observar os arquivos e seus respectivos caminhos, pois às vezes, mudam de distribuição para distribuição.
E com esta técnica, não precisa instalar nenhum programa adicional para o modo chroot e não precisa rodar o comando chroot para entrar nele.
Os programas com seus respectivos processos ficam "enjaulados". E pode-se aplicar essa técnica em qualquer programa que se queria "enjaular".
Existem várias maneiras de aprimorar a segurança no GNU/Linux, essa aqui mostrada, é apenas mais uma delas.
Link para configurar o Debian em chroot:
Apesar de que, nesses casos, segurança nunca é demais. Além do que, lembre-se que em servidores, é imprescindível ter um Firewall bem configurado.
Com o comando mv, movemos os diretórios necessários (com os arquivos de configurações, inicialização, bibliotecas, etc) para outro diretório e depois, criamos um link simbólico (ln -s) de volta para o diretório movido.
Os diretórios named e jaula, foram criados à escolha do vivente, podendo alterar os nomes.
Recomenda-se alterar os caminhos também, por exemplo, os diretórios named e jaula, não precisam estar necessariamente em /var/lib, pode se colocá-los em /opt, /usr/local, pode-se criar um diretório em um lugar de sua escolha, etc.
Recomendo encapsular o BIND 9 em um diretório que esteja em um caminho diferente do encapsulamento do Apache 2. Aqui, foi colocado no mesmo diretório /var/lib para fins didáticos e de facilidade de entendimento.
Aconselho a fazer esse procedimento logo após instalar qualquer serviço e antes de fazer as configurações. Porém, nada impede que faça depois.
Existem outras técnicas de rodar o modo chroot, esta foi escolhida por adaptar-se à maioria das distribuições GNU/Linux, bastando apenas observar os arquivos e seus respectivos caminhos, pois às vezes, mudam de distribuição para distribuição.
E com esta técnica, não precisa instalar nenhum programa adicional para o modo chroot e não precisa rodar o comando chroot para entrar nele.
Os programas com seus respectivos processos ficam "enjaulados". E pode-se aplicar essa técnica em qualquer programa que se queria "enjaular".
Existem várias maneiras de aprimorar a segurança no GNU/Linux, essa aqui mostrada, é apenas mais uma delas.
Link para configurar o Debian em chroot:
Referências
- Gabriel Torres, Redes de Computadores, versão revista e atualizada. Editora Novaterra, 2010.
- Descritores Padrão de Arquivos « www.if.ufrgs.br