Melhorias generalizadas de segurança (parte 2)

engos

Na artigo anterior vimos procedimentos voltados para a segurança levando o local onde está o Linux como foco, nessa segunda parte o foco principal é um ataque remoto, dificultando e restringindo um ataque com sucesso.

[ Hits: 47.837 ]

Por: Rodrigo Ferreira Valentim em 07/08/2004 | Blog: http://www.unitech.pro.br

1 0
Denuncie   Favoritos   Indicar   Impressora

Controlando o sistema de montagem de arquivos



Existem partições onde o controle deve ser maior no que se pode ou não se pode fazer, como por exemplo, no caso da partição /tmp. Se você não criou partições separadas é um erro de desempenho e segurança, principalmente no /tmp. Estarei verificando se já existe algum artigo sobre o assunto, caso não exista o farei.

O /tmp é um local público para armazenar arquivos, isso significa que qualquer um pode colocar um arquivo nesse local, por isso devemos restringir algumas ações, como por exemplo, a de se executar um arquivo.

Edite seu arquivo /etc/fstab de acordo com suas necessidades. A seguir as mudanças que faço normalmente:

Altere de: 
LABEL=/cache    /cache  ext2 defaults 1 2
LABEL=/home     /home   ext2 defaults 1 2
LABEL=/tmp      /tmp    ext2 defaults 1 2
LABEL=/boot     /boot   ext2 defaults 1 2
Para: 

LABEL=/cache    /cache  ext2 defaults,nodev         1 2
LABEL=/home     /home   ext2 defaults,nosuid        1 2
LABEL=/tmp      /tmp    ext2 defaults,nosuid,noexec 1 2
LABEL=/boot     /boot   ext2 defaults,ro            1 2

Para as mudanças terem efeitos sem ter que reiniciar o sistema digite:

# mount /cache -oremount
# mount /home -oremount
# mount /tmp -oremount
# mount /boot -oremount

Para mais informações consulte o manual do mount (8):

# man 8 mount

Página anterior     Próxima página

Páginas do artigo
   1. Bloqueando login remoto
   2. Controlando o sistema de montagem de arquivos
   3. Restringindo o RPM
   4. Restringindo o shell logging
   5. Restringindo os scripts de boot
   6. Mantendo a privacidade ao logar
   7. Bloqueando a requisição do ping
   8. Bloqueando a requisição de broadcast
   9. Conclusão
Outros artigos deste autor

AJAX - Parte 1

Melhorias generalizadas de segurança (parte 1)

Dificuldades com o Debian Etch/Test

Desktop 3D Linux

Atualizando o Red Hat com o up2date

Leitura recomendada

Bom escudo não teme espada: o módulo pam_cracklib

Remover vírus do Windows usando pendrive com Linux

Fail2ban no Debian - Instalação e Configuração

Projeto Sharingan

Chroot + Bind sem stress

  
Comentários
[1] Comentário enviado por agk em 09/08/2004 - 08:58h

Parabéns ótimo artigo, dicas muito boas para iniciantes e para quem acha que está muito seguro, para servidores eu recomendo no mínimo un firewall e se possível um ids, mas gostei das dicas, já vão ajudar bastante.

[2] Comentário enviado por Atylla em 09/08/2004 - 11:37h

Gostei muito desse artigo pois era o que estava procurando e me ajudou ja que estou começãndo com linux agora

[3] Comentário enviado por engos em 09/08/2004 - 15:01h

O objetivo é sempre de ajudar, seja com crítcas, artigos, links etc.

É bom saber que o pessoal mais novo pode aproveitar bem, só espero que mesmo o pessoal que já tem firewall perceba que por mais seguro que possa estar o sistema, se conseguirem passar pelo firewall, algumas das técnicas (outras existem em regras de firewall) de prevenção desses 2 artigos ajudam a minimizar problemas ou restringi-los, não se limitando apenas aos novatos.

Obrigado a todos pelos comentários que já postaram e os que estão por vir!

[4] Comentário enviado por falcao007 em 31/05/2005 - 09:56h

Muito bom o artigo, mas faltou algumas informacoes importantes como as opcoes de configuracao do arquivo /etc/security/limits.conf , para limitar a utilizacao de recursos do sistema para determinados grupos/usuario.
Segue exemplo de limitacoes pra todos os usuarios. Mairos informacoes man limits.conf ! :)
-

# - core - limits the core file size (KB)
# - data - max data size (KB)
# - fsize - maximum filesize (KB)
# - memlock - max locked-in-memory address space (KB)
# - nofile - max number of open files
# - rss - max resident set size (KB)
# - stack - max stack size (KB)
# - cpu - max CPU time (MIN)
# - nproc - max number of processes
# - as - address space limit
# - maxlogins - max number of logins for this user
# - priority - the priority to run user process with
# - locks - max number of file locks the user can hold
# <domain> <type> <item> <value>

* hard core 0
* soft nproc 100
* hard nproc 150
* - maxlogins 10
# End of file


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Visualizar câmeras IP ONVIF no Linux sem necessidade de instalar aplicativos

Atualizar Debian Online de uma Versão para outra

Máquina perereca - até onde é possível o uso de Linux?

Mitigação - O que é e quando é "seguro" desabilitar

A arte e a prática da Disciplina a longo prazo

Dicas

Como anda a saúde do disco rígido?

Reescalando a tela hd para fullhd com o xrandr

History com data e hora

Site com diversos emojis para seus códigos

Criar alias no Shell Fish

Tópicos

Debian 13 "trixie&... lançado! (25)

O que você está ouvindo agora? [2] (202)

Problema na instalação do Xubuntu (2)

IWQt (3)

script backup e restaure samba4 (4)

Top 10 do mês

Scripts

[Shell Script] Script ligar-scrolllock

[Shell Script] Como ver/ouvir vídeo/áudio via Terminal de modo prático

[Shell Script] Criar Script para apagar determinados arquivos

[Shell Script] inSANE - Script para usar Scanner

[Shell Script] Instalador do emulador de joystick Xbox para joystick generico para PC, PS2, PS3 (Debian e Derivados

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: