Restrigir permissão em arquivos importantes

alessondavid
(usa CentOS)

Enviado em 21/06/2015 - 12:37h

Li que alguns arquivos no sistema devem ter sua permissão restringida no linux seja leitura escrita ou execução. Exemplo clássico o passwd. Mas se tratando de melhorar a segurança no sistema quais os arquivos deve-se dar principal atenção. Por exemplo executando "find / -perm -2 -type f -print" me vem uma lista, mas me veio a dúvida quais são os alvos. Sem dúvida é uma questão que envolve experiência.

zhushazang
(usa Gentoo)

Enviado em 21/06/2015 - 21:51h

Alvos? Cara, explique melhor o que você quer. Não entendi.

Att

alessondavid
(usa CentOS)

Enviado em 22/06/2015 - 01:49h

Quando digo alvos, me refiro aos arquivos mais importantes para o sistema e que podem ser alvos de um ataque, para ganho de privilégio ou para comprometer o bom funcionamento do mesmo, por exemplo. No material que estou lendo tem uns exemplos como passwd, shadow, inittab, fstab,
securetty. Mas com certeza a lista não para por aí.

removido
(usa Nenhuma)

Enviado em 22/06/2015 - 02:48h

Tem arquivos os quais não se precisa ficar alterando, os quais podem receber permissão de leitura. Mas quem pode ler? No caso apenas o root?

Um exemplo é o /etc/shadow que por padrão possui permissão de leitura e escrita para root. Ele possui strings que são as senhas dos usuários do sistema. Essas strings não podem aparecer prá qualquer um pois podem ser quebradas por crackeadores de senhas (ex: JTR). Apenas root deve ter permissão de leitura/escrita para autenticar e alterar a senha se necessário. Mesmo que seja um usuário comum quem solicita a mudança da própria senha, esta tarefa recai ao root.

No caso do /etc/fstab as pessoas podem ler o conteúdo e saber das partições que podem ou não ser montadas. Outro que pode ser lido é o /etc/apt/sources.list

Existe um sistema de atributos de arquivos nos quais não se pensa muito quando se vê as mudanças nas permissões de execução, escrita e leitura ou grupo e dono. Estas permissões podem ser verificadas com o comando lsattr e modificadas com o comando chattr.

Por exemplo, existe uma atribuição chamada append que proíbe um arquivo de ser removido e que também o proíbe de ser editado. A única coisa que pode ser feito com ele é acrescentar dados ao seu final. Um exemplo é fazer isto com o arquivo .bash_history. Ele vira uma lista com todos os comandos executados desde a mudança de atributo, sendo que independente de variáveis de histórico ele faz uma espécie de log de comandos, mesmo que tenha mais de um terminal aberto.

Existem outros atributos que podem ser usados em conjunto com chmod e chown. Além disso ainda dá prá usar um sistema de verificação de contexto, que pode proibir a execução de comandos conforme determinadas circunstâncias. Este sistema chama-se SELINUX e faz um tempo que tento reunir conhecimento sobre ele. Ainda não é desta vez que dominarei seu uso.

Outro hábito bom é criar um usuário apenas para administração e configurar o sudo para que ele possa mexer com alguns comandos, com autenticação pedindo senha sempre.

--
Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden