Implementando um kernel GNU/Linux mais seguro

Nesse artigo iremos mostrar como é possível implementar pequenas filtragens através da compilação do kernel GNU/Linux utilizando o pseudo-sistema de arquivos /proc sem ter um conhecimento avançado de ferramentas específicas de firewalling, como o Netfilter/Iptables, Ipchains, Ipfwadm entre outras.

[ Hits: 65.470 ]

Por: Wagner M Queiroz em 03/02/2005


Resumo



Nesse artigo iremos mostrar como é possível implementar pequenas filtragens através da compilação do kernel GNU/Linux utilizando o pseudo-sistemas de arquivos /proc sem ter um conhecimento avançado de ferramentas específicas de firewalling como o Netfilter/Iptables, Ipchains, Ipfwadm entre outras.

O objetivo é deixar o GNU/Linux mais seguro contra algumas técnicas de ataques que serão abordadas ao longo desse artigo. Serão mostradas as contramedidas e será utilizado o script /etc/sysctl.conf para que as configurações feitas fiquem permanentes mesmo que o computador seja reiniciado.

Foi utilizada a distribuição Red Hat 9 com o kernel versão 2.4.20-8 para testes e exemplos usados para o desenvolvimento desse artigo.

Introdução


O kernel GNU/Linux pode ser configurado utilizando as ferramentas Iptables, Ipchains, Ipfwadm entre outras para fortalecer a segurança do sistema. Entretanto, existem diversos parâmetros no kernel que nos permite melhorar a segurança sem sequer possuir conhecimentos avançados em ferramentas de firewall.

O sistema de arquivos /proc é uma das janelas para se configurar o kernel GNU/Linux. Este diretório é pouco explorado por usuários comuns, porém muito útil, pois contém informações importantes sobre o sistema. O /proc é gerado pelo próprio kernel durante a inicialização do GNU/Linux, por esse motivo que ele é chamado de pseudo, por ele não ser real [3].

Nesse artigo iremos especificamente comentar sobre o diretório /proc/sys/net/ipv4/, onde utilizaremos o comando sysctl e o script /etc/sysctl.conf para a configuração dos parâmetros de segurança do kernel GNU/Linux.

É aconselhável que os parâmetros utilizados no kernel listados nesse artigo sejam implementados em conjunto com as regras de firewall e que antes de começar a alterar qualquer variável do kernel exposta nesse artigo, faça primeiro em um computador teste para depois fazer no computador em produção, pois assim você estará evitando problemas futuros.

    Próxima página

Páginas do artigo
   1. Resumo
   2. O pseudo-sistema de arquivos
   3. O sysctl
   4. Implementado segurança no kernel
   5. Conclusão
   6. Referências bibliográficas
   7. Sobre o autor
Outros artigos deste autor

VPN: IPSec vs SSL

Leitura recomendada

Instalando o Slackware com suporte HT - SMP

Layer7 e compilação do kernel mole-mole com Conectiva 10

Empacotamento de Kernel em Sistemas Debian-Based

Kernel 2.6.7 compilado e configurado para nVIDIA

kernel-ck para Arch Linux

  
Comentários
[1] Comentário enviado por errado em 03/02/2005 - 02:19h

Caramba! Eu tinha acabado de ler um texto sobre /proc e sysclt enão tinha entendido muito bem...Com esse artigo publicado, já dei um salto enorme no entendimento ;)

Parabéns!

[2] Comentário enviado por dark_slack em 03/02/2005 - 03:35h

Muito 10 seu artigo. Muito bom mesmo.

[3] Comentário enviado por reimassupilami em 03/02/2005 - 10:31h

cara, massa mesmo teu artigo viu... isso só ressalta a importância de cuidarmos da segurança dos servidores... nem conhecia todos esses ataques que você mencionou...

com certeza vou dar uma estudada no artigo e pôr tudo em prática...

só uma coisa que não ficou muito clara pra mim: o que eu devo fazer pra que as configurações sejam refeitas quando reinicio a máquina?

[4] Comentário enviado por wmqueiroz em 03/02/2005 - 23:58h

Antes de tudo, fico muito grato a todos pelos comentários e elogios! Vlw mesmo!!

Sobre a questão de reimassupilami... dê uma lida nesse artigo nas partes:

2. O pseudo-sistema de arquivos
3. O sysctl

[]´s
Wagner Queiroz

[5] Comentário enviado por Carlos_Cunha em 05/10/2012 - 14:43h

Olá!
Muito bom artigo, vi em outros post e sites as mesmas "proteção" so que menos eficientes e via regras de iptables....
Aprendi lendo seu artigo

:-D

Abraço

[6] Comentário enviado por px em 10/07/2013 - 21:44h

Grande referência para meus estudos, obg por compartilhar com a comunidade.

[7] Comentário enviado por wldnet1 em 08/09/2015 - 14:49h


Ótima contribuição amigo. Gostei muito auto explicativo.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts