Melhorando a segurança do seus servidores em FreeBSD

cardosoalcir

Pra quem me conhece ou já leu meus outros artigos, já percebeu que minha vida é o FreeBSD. Sinceramente nunca usei o Linux como sistema de um servidor (apenas como desktop), mas este artigo, apesar de ser voltado para o FreeBSD (hihi), com certeza ajudará a você que usa Linux a melhorar a segurança dos seus servidores.

[ Hits: 43.009 ]

Por: Alcir Cardoso em 21/03/2007 | Blog: http://maboo.us

0 0

Denuncie Favoritos Indicar Impressora

Parando o que não usa

Mais ou menos 70% das minhas instalações de FreeBSD são para fazer router com proxy, e por padrão meu se eu não uso eu paro, por exemplo, em um firewall pra que usar as portas USB?? Adicione estas linhas no teu /etc/rc.conf.

#Desabilita os USBs
usb_enable="NO"

#Desabilita o file server padrão do free
nfs_reserved_port_only="NO"

#para o sendmail, que é default do free
sendmail_enable="NONE"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"

#Desativa o syslog na porta udp 514
#isso só é usado para servidor de log
#e é mais uma porta esperando um scan
syslogd_flags="-ss"

#O portmap é utilizado para RPC - Remote Procedure Call
portmap_enable="NO"

#Limpa o temp
clear_tmp_enable="YES"

Com certeza tem mais coisas, mas aí depende da realidade de cada sistema e também do que você usa no teu server, por exemplo, se você tem um script que manda email, não vai parar o sendmail.

Outro pacote default do FreeBSD é o named, mas esse eu sempre configuro nos meus routers, um resolução DNS na rede local é melhor do que ir buscar lá longe...

Página anterior Próxima página

Páginas do artigo

   1. Definições gerais
   2. Parando o que não usa
   3. Serviços
   4. Spoofing e outros
   5. Brute Force Blocking
   6. Considerações finais

Outros artigos deste autor

Configurando uma VPN no FreeBSD

Firewall e NAT em FreeBSD com controle de banda e redirecionamento de portas e IPs

Leitura recomendada

Snort em modo defensivo com Flex Response 2

13 dicas de segurança para o Apache

Utilizando SSH com método de autenticação publickey + ssh-agend + ssh-add

Autenticação de servidores CentOS/Red Hat 6 em Windows 2008

Aquisição Estática de Dados em Computação Forense

Comentários

[1] Comentário enviado por removido em 21/03/2007 - 03:42h

Gostei do artigo.
Mas faltou muita coisa referente a segurança no FreeBSD que você pode usar para fazer a versão 2 do artigo. Como:
Segurança do kernel do FreeBSD;
TCPwrappers;
E também outros tipos de ataques.

Parabéns, faz tempo que não vejo um artigo sobre segurança aqui no vivaolinux. Nota 10.

0 0

[2] Comentário enviado por renatomartins em 21/03/2007 - 09:41h

parabens !!!
é sempre bom dar uma ideia para o pessoal
para versao 2 o secure level é ua boa chflags as acl do filesystem e as permiçoes de pastas os modulos no kernel do bsd para bloqueios portaudit e varias outras soluçoes de segurança que o freebsd nos oferece nativamente por ser o unico há implementar o case 100% posix 1e
ta otimo seu artigo
abraço

0 0

[3] Comentário enviado por grayfox em 21/03/2007 - 20:37h

#fechando o icmp na interface externa
/sbin/ipfw add deny icmp from any to any in via bge1 icmptypes 0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18

deveria ser trocado por:
/sbin/ipfw add deny icmp from any to any via bge1

A porta reservada para nfs, é utilizada somente no rc.conf dos freebsds antigos, entao os novos, nao tem a necessidade de colocar a referencia no rc.conf.

0 0

[4] Comentário enviado por fernandoamador em 08/04/2007 - 23:58h

Ótimo artgo...

0 0

[5] Comentário enviado por l0c0 em 24/05/2007 - 08:47h

bom artigo

Mas para Brute Force recomendo usar denyhosts:

# cd /usr/ports/security/denyhosts
# make install clean

# cd /usr/local/share/denyhosts
# cp denyhosts.cfg-dist denyhosts.cfg

--- edite o denyhosts.cfg

# ./daemon-control start

0 0