Não confie em ninguém!

Você acredita em propagandas? Acredita em tudo o que é falado e escrito em diversas mídias? Absorve as informações que captura como sendo verdade e isenta de erros? Você acredita neste texto que estou escrevendo agora? Se as respostas para estas perguntas forem "sim", melhor mudar seus conceitos! Veja o porquê no decorrer deste artigo.

[ Hits: 18.318 ]

Por: Edwi Oliveira Santos Feitoza em 04/05/2010 | Blog: http://edwifeitoza.wordpress.com


Exemplos de scripting e firewall



Resolvi juntar ambos na mesma página. Afinal, muitos adotam a praticidade de configurar firewall usando shell scripts acionados por linha de comando.

Uma coisa que sempre me chamou atenção em artigos que ensinavam regras de firewall e propunham exemplos era com relação aos logs. Fala a real: você lê logs de firewall? Realmente é importante para você saber se alguém está tentando conexão na porta 300 de seu servidor? Se quiser saber se alguém se logou via ssh vai usar logs de iptables para isso? PARA QUÊ?? O importante, neste caso, é saber se alguém conectou com sucesso no SSH e se conseguiu sessão ativa. E o log do SSH já faz isso! Redundância!

Sobre scripting... Bem, devo reconhecer: a funcionalidade dos scripts que o povo publica aqui no VOL realmente não deixa a desejar! Fazem aquilo que prometem! O único adendo que faço é que muitos têm uma certa mania de sumarizar variáveis e dados dos scripts sem necessidade. Se o treco crescer e precisar de mais variáveis para cumprir papel semelhante manter o script com o passar do tempo vai ficar um inferno! Veja este exemplo de um início de trecho de código de um script que configura o firewall iptables:

# ENDREMOTO coloque o endereço de internet valido para acesso via SSH caso vai fazer conexões
# remotas neste host para gerencia-lo
IR0="eth0"
IR1="ppp0"
RINTERNA="10.62.3.0/24"
ENDREMOTO= 200.200.200.100
UP_PORTS="1024:"
D_PORTS=":1024"

Como o servidor tem duas interfaces, fica fácil gerenciar! Agora imagine que a demanda cresceu, vai precisar de mais duas interfaces para balanceamento de link e estas devem entrar nas regras do firewall. Já vira meleca! Qual o problema em usar nome verdadeiro das funções da variáveis e não sumarizações que tendem a te fazer perder a paciência no futuro? Sempre que cito isso, gosto de citar as seguintes palavras do estilo de codificação do kernel Linux:

If you have a function that counts the number of active users, you should call that count_active_users() or similar, you should not call it cntusr().

Encoding the type of a function into the name (so-called Hungarian notation) is brain damaged.

Peguei isso aqui:

Conclusão

Bem, estas eram as ponderações que eu achei importante fazer sobre como algo aparentemente inofensivo, inerte e nobre (poucos se propõem a usar parte do seu tempo para divulgar o que sabe) pode na verdade prejudicar o aprendizado e uso das mais diversas tecnologias disponíveis ao nosso favor com o passar do tempo.

Isso não é um puxão de orelhas! Confesso que muitos erros dos que eu citei no decorrer do artigo também já os cometi quando era mais inexperiente. As consequências não foram legais =/

Espero que isto sirva como uma espécie de gatilho onde todos nós possamos a todo o momento nos policiar de tudo o que fazemos, implementamos e divulgamos. Não só no Linux e software livre, mas também em todas as decisões que tivermos que tomar em nossas vidas.

A propósito, temos compromisso em outubro ;-)

Grande abraço a todos.

Edwi Oliveira Santos Feitoza
Software Developer - IBM Brasil
ITIL V3 Certified by EXIN

Página anterior    

Páginas do artigo
   1. O que me motivou a escrever este artigo?
   2. Exemplos de segurança
   3. Exemplos de scripting e firewall
Outros artigos deste autor

Busca corporativa com Apache Solr - Motivação e conceitos

Banda Larga 3G da Claro no Slackware Linux

Leitura recomendada

Uma licença assim é possível? (questões provocantes sobre software livre e direito)

Conhecimento x Soberba

Linux prestes a ganhar novos adeptos

Software livre, interoperabilidade, padronização e usuários leigos

Valor da Liberdade!

  
Comentários
[1] Comentário enviado por mondra em 04/05/2010 - 14:09h

Olá Edwi,

Concordo plenamente com suas ponderações.
Sei que muitos tem a paciência para escreverem artigos com experiências próprias, compartilhando seus conhecimentos. Mas infelizmente algumas pessoas acham mais fácil o Ctrl+C e Ctrl+v, acabando com isso disseminando informações errôneas.
Claro que, mesmo com experiências próprias, estamos sujeitos a falhas. Sempre gostei dos "mas por que tem de ser assim?", já que nos faz mostrar os "porquês" e assim mostrando que sabemos realmente do que estamos falando e não apenas porque foi assim que vimos em algum lugar.
Parabéns pela matéria, nem só de tutoriais se constrói uma comunidade ;-)

Abraços,
Edson "Mondra" Lima
Ubuntu Campinas

[2] Comentário enviado por paulorvojr em 04/05/2010 - 15:10h

Concordo plenamente,
mas atentem aos fatos e motivos e abram o olho.

Seja qual for ou quem criou um texto , artigo que mencionou:

Criar o diretório de cache.

# chmod 777 /usr/local/squid/cache

Há duas opções, que são: O autor aprendeu assim e não gosta de questionar(tenho pena dele...), ou sendo o mais provavel, ele queria evitar problemas e perguntas bobas de segurança do tipo:
não ta funcionando no meuuuuuu!!! ta dando permissão negadaaaa....buaaaa.!!!

logo melhorar uma informação depende de quem é interessado, eu por exemplo, vejo um artigo , 2, 3, e junto as informações e crio meu proprio projeto que irei implementar numa empresa, ou em casa, resumindo, estou agregando informações, questionando-as, implemento, e quando possivel as compartilho, como crio meus artigos aqui mesmo no VOL e pela web, tanto linux, windows, solaris e freebsd.

de resto seu artigo está perfeito, realmente não podemos acreditar em tudo, devemos sempre questionar.

parabéns.


Paulo Roberto Junior
www.paulojr.info

[3] Comentário enviado por jhugor em 04/05/2010 - 17:19h

Parabens pelo artigo!

[4] Comentário enviado por capitainkurn em 04/05/2010 - 19:22h

Suas considerações são válidas e procedentes, mas ocorre o seguinte:
Abordar determinadas boas práticas de segurança pode desviar o artigo de seu escopo e até torna-lo um tanto ininteligível sob alguns aspectos, ou ainda ocorre que a solução não requeira um elevado nível de segurança pelas próprias características do ambiente de produção do autor do artigo. Nestes casos concordo com você que ao menos o autor devesse ter a preocupação em colocar uma nota de advertência. Eu mesmo quando me apercebo de algo assim em algum artigo ou dica, costumo colocar tais notas de advertência até mesmo quanto as limitações da solução.

[5] Comentário enviado por L!N5X em 04/05/2010 - 23:46h

Só para descontrair um pouco e veja que realmente não podemos acreditar em nada.

http://www.youtube.com/watch?v=BcbZ0v8Mpvk&feature=player_embedded

[6] Comentário enviado por dastyler em 05/05/2010 - 02:02h

òtimo arigo Edwi, e quanto a sumarização voce tem toda a razao. escrevercódigo sem ela é melhor e faz parte das boas práticas da programação.
Vejo muito códigos em PHP que fazem até pior do que o citado por voce de exemplo.

[]'s

[7] Comentário enviado por rc em 05/05/2010 - 14:23h

Prezado edi_oliver:

Realmente não dá pra acreditar em tudo o que se vê e lê, em especial na internet.
Quando as soluções são mais complexas, como o exemplo que vc sitou do chmode 777 (que eu que sou keigo nem sei o que é), imagino que de repente o cara que escreveu ou não imaginou as brechas de segurança que ele criou ou realmente escreveu para ser um artigo genérico, sem aprofundamento, mas que resolva o problema de alguém no aperto.
Pois bem: sou de outra área do conhecimento (trabalho nas ciências biológicas), mas gosto muito da informática, e trabalho hj também com ela, e o que vejo é como se fosse um certo perfil de quem lida com computador: um problema em comunicar os conhecimentos que possui à outros.
Vejo os artigos escritos aqui no vivaolinux: SEI QUE QUEM ESCREVEU FEZ DE BOA VONTADE E COM O INTUITO DE AJUDAR e pensando nisso acredito que seu artigo tenha vindo para ajudar nesses outros que será escritos após o seu.
Informática é MUUUITO DETALHE!!!! Esses detalhes nos escapam pelos dedos e daí vêm as cacas... erros que ninguém sabe o que significam... detalhes perdidos numa instalação, numa configuração, enfim, detalhes que tb se perdem na hora de escrever um artigo para o vivaolinux. Esses detalhes são ESPECIALMENTE IMPORTANTES para quem não sabe lidar com informática, porque o cara vai desesperado atrás de uma solução no google e lê artigo e faz sem pensar (já fiz isso!!!) e se ferra mais ainda!
O problema que vc ressaltou no seu artigo, ao meu ver, infelizmente não tem solução, senão a constante busca por conhecimento em fontes CONFIÁVEIS DE INFORMAÇÃO.
Hj vivemos na sociedade da DESINFORMAÇÃO. Vemos, lemos, respiramos desinformação. Temos zilhões de informações de péssima qualidade, que nos norteiam para o inferno.
Muito bem colocado seu artigo, e que sirva de alerta aos incautos, que como eu, aprendem na porrada a ter o desconfiômetro sempre ligado, mas lembremos que mesmo artigos "ruins", NA MAIORIA DAS VEZES, serve para alguma coisa, desde que vc saiba interpretar e filtrar a informação, beom como vc falou. Novamente, acho que onde falta conhecimento, reina o caos, então, vamos ficar mais espertos naquilo que precisamos saber com mais frequência, e no nosso caso é a informática.
Falows
Roberto Carreira

[8] Comentário enviado por Ed_slacker em 05/05/2010 - 16:35h

Fico grato pelos feedbacks recebidos pela comunidade.
Só faço um adendo ao comentário feito pelo nosso amigo Roberto Carreira.
O que ele escreveu é de suma importância e retrata de forma bem aproximada o que ocorre quando se tem alguém com boa vontade de divulgar o que sabe sem se preocupar com as boas e melhores práticas e com quem está desesperado atrás de uma solução que "apague o incêndio"! Só que a solução que apaga o incêndio apenas coloca uma fina fita isolante em um fio desencapado perto de outro em curto, que causará outro incêndio! Enquanto as melhores e as boas práticas nos recomendam que troquemos o fio. Assim ficamos um bom tempo sem este tipo de problema.
Na última parte do artigo falei que os erros que eu citei no mesmo também os cometi. E que as consequências não foram legais. Leia-se: FUI DEMITIDO DE UMA EMPRESA POR LER CEGAMENTE O QUE UM DADO ARTIGO DIZIA E SEGUI A RISCA! Ele não contemplou issues de segurança. Fui afetado por uma deles, prejudicou o negócio, perdemos grana e fui demitido por justa causa. Por isso citei o perigo e lembrar que técnicos usam o conteúdo destes artigos em seus ambientes de negócio! Muitos em começo de carreira! Sem saber os riscos que se corre pela inexperiência!
Como estou vendo o mesmo acontecer em nossas decisões políticas, lembro-me de meu desligamento em 2007. E resolvi alertar a comunidade sobre como algo nobre e inofensivo pode prejudicar pessoas, carreiras e vidas!
Parece exagero, mas não é!

Edwi Oliveira Santos Feitoza.

[9] Comentário enviado por edisonsousa em 06/05/2010 - 11:16h

realmente muito bom esse artigo, e bom seria se todos pudessem dar uma olhada nele antes de buscar por soluções, valeuuu

[10] Comentário enviado por Teixeira em 06/05/2010 - 13:15h

Muito bom o seu artigo, e tem validade para todos os assuntos. No dia em que removerem ctrl-C e ctrl-V dos teclados, muita gente buscará o suicídio, pois nada mais lhes restará fazer na vida.

Um exemplo:
Fui procurar sobre a COBRA TAIPAN, uma serpente australiana muito perigosa (mas que o Steve Irwin tirava de letra, sendo finalmente morto por uma... raia!).
Mas a tal cobra, dizem que o veneno dela é tão forte que ela pode matar 100 homens com uma só picada (grande promoção: 1 é picado e morrem mais 99 de brinde).
Mss não é que em toda parte se vê essa forma de redação? Só teve um que escreveu que ela pode matar 100 homens com UMA SÓ MORDIDA (ah, bom!...).

Outro exemplo, não de cópia, mas no tocante a conteúdo:
Teve uma importante e conceituada revista americana que publicou uma daquelas pajelanças americanas para renomear arquivos em lote no DOS.
Quem caísse na besteira de renomear daquela forma, iria fazer com que todos os arquivos de seu diretório corrente fossem transformados em File0001, File0002, ... File0128, ... File0512 (igualzinho no chkdisk). Olha só a encrenca!
E o artigo nunca teve nenhuma errata, nenhuma revisão, nenhum comentário.

Quanto ao conhecimento político e às práticas de administração da azienda pública, brasleiro em geral é desligado das coisas ligadas a essas matérias.

Já ouvi gente dizer que "as ruas estão esburacadas desde que o Lula foi eleito presidente";
Que "o atendimento médico nos hospitais deveria ser melhor porque todos pagam IPTU";
e outras pérolas igualmente reluzentes...

[11] Comentário enviado por premoli em 06/05/2010 - 18:55h

Usuários "espertinhos" nos dão muuuuuiito trabalho.

[12] Comentário enviado por csenciani em 07/05/2010 - 15:09h

OI Edwi, tudo bem?
É a Cris que estou com vc na São Judas....

Gostaria de dizer que achei muito legal o seu tópico, interessante mesmo...
Um grande abraçO!


[13] Comentário enviado por fernandoamador em 19/06/2011 - 01:52h

artigo interessante.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts