1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

Ubuntu mais seguro. Pergunta aos experts.

Discussão em 'Novidades GNU/Linux & *nix World' iniciada por Metro, 23 de Fevereiro de 2006. (Respostas: 8; Visualizações: 976)

  1. Metro

    Metro Benevolent Dictator For Life
    Staff Member

    Possuo uma rede mista (tenho pcs em XP e Ubuntu). O CC a fazer de gateway e firewall.

    A pergunta é como é que posso salvaguardar que no ubuntu não recebo um ficheiro que possa infectar a máquina do Windows. O meu problema não está em casa mas sim a partir do momento em que ande de portátil com Ubuntu instalado por ai:) e o XP naturalemnte. Em que medida é que ligando-me a uma rede fora de casa posso ficar mais descansado.

    Ou estou a fazer um bicho de sete cabeças e não há qq perigo.

    É que penso que temos a sensação que não há virus para Linux mas isso não abona nada em tornarmos os nossos pcs mais seguros.

    Alguém com uma solução simples de implementar (há medida de um newbie - este ponto é muito importante. Nada de andar a compilar kernel - private joke:)).

    Não temos discutido muito por aqui este assunto da segurança em Linux e em redes mistas e faz cada vez mais sentido.
    Experts cheguem-se à frente. Sou todo ouvidos. Soluções simples sff.
     
  2. HecKel

    HecKel The WORM

    Eu uso uma "firewall" bacana, o firestarter que basicamente configura-me o iptables correctamente sem eu necessitar de perceber de iptables....

    Sobre anti-virus, nada como o avast! Nunca o usei em linux, mas em windows adoro ;)

    abraços, HecKel
     
  3. God_Lx

    God_Lx Folding Member

    Metro tu tens conhecimentos suficientes para ver quando um ficheiro é suspeito ou não... Logo não precisas de grandes "alarmes" :) Em Ubuntu não terás qq problema de virus, passa-lo pro Windows é uma hipotese possivel, mas basta teres um anti-virus normalissimo em Windows k fica a ser uma possibilidade muito reduzida...

    Quanto aos Iptables, eu vou assumir k não tens nenhum serviço a correr no teu Ubuntu logo não terás portas abertas, portanto só se kiseres por algumas regras de iptables básicas para n responder a pings ou coisas do género...

    Duas coisas simples k ajudam ;)

    Código:
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
     
    Última edição: 23 de Fevereiro de 2006
  4. Metro

    Metro Benevolent Dictator For Life
    Staff Member

    Sim não aceito qq ficheiro e neste momento só uso contas do gmail que já de si tem antivirus.Não vou precisar de iptables penso eu (principalmente qd estou fora da minha rede, aqui tenho o CC com as portas abertas como preciso).

    O que faz estes argumentos que colocas-te no quote?
     
  5. falco

    falco Power Member

    Por omissão os novos ficheiros e, GNU/Linux não podem ser executados (a não ser que alguma distribuição tenha alterado isso para si própria, mas na maioria esmagadora a configuração não permite execução).

    O malware para poder ser mau precisa de ser ou executado ou lido de forma a que provoque a sua execução devido a uma falha no software que lê (pode ser uma simples string).

    Já vimos por não ter permissão de execução, não vai ser executado automáticamente, quanto ao ser lido é possível, mas aí é que entram duas coisas a segurança da aplicação que vai ler e o cuidado do utilizador. Se a aplicação for segura vai verificar o input e/ou talvez mesmo isolar a componente que vai ler o input de forma a que não possa ser usada como vector de ataque (infelizmente, e isto aplica-se a todas as aplicações em todos os sistemas operativos, isto nem sempre é feito e por vezes pode haver forma de dar a volta a estas medidas). Por isso como medida de segurança sobra imediatamente o cuidado do utilizador, os utilizadores nunca devem aceder a ficheiros de fontes desconhecidas, nunca devem instalar software de fontes não verificáveis (pessoas em foruns web, redes p2p, etc...), devem usar ao máximo a criptografia para verificar as assinaturas digitais dos ficheiros (para terem a certeza de quem os enviou) ou para fazer checksums da sua integridade, devem ainda de ter outros cuidados, que não vale a pena explicitar agora.



    Quanto à possibilidade de infectar o window$ com um ficheiro num sistema GNU/Linux, desde que deixes esse ficheiro numa partição não acessivel ao window$ e desde que não o envies de alguma forma para um sistema window$, isso não é uma possibilidade. Mas no caso de quereres trocar ficheiros entre sistemas, podes sempre instalar um dos anti-virus para GNU/Linux que fazem parte da distribuição que usas (clamav por exemplo), mas tem noção que como os virus e worms não são tipicamente uma grande ameaça em sistemas *nix, os anti-virus em causa foram desenhados para correr em servidores *nix (servidores de ficheiros e de correio electrónico) com a tarefa essêncial de proteger sistemas window$, por isso as suas interfaces não são muito adequadas para a utilização no desktop (embora hajam projectos que estão a tentar colmatar essa insuficiência).



    Mas se queres mesmo proteger um sistema GNU/Linux, instala um detector de rootkits (chrootkit), configura a firewall como deve de ser, não utilizes privilégios de administração quando não é extritamente necessário, desconfia de todos e mantém o teu sistema actualizado e não deves ter problemas.
    Há medidas que podem ser tomadas para tornar o sistema muitissimo mais seguro (IDS, SeLinux, GRSec, etc, mas actualmente são poucas as distribuições que vêm com elas preparadas para o típico utilizador de window$, que não está acostumado a alguns conceitos.




    Há uma meia-duzia de virus, uns quantos worms e rootkits. Só que não são muito eficazes e nunca ninguém os consedirou uma ameaça, porque as correcções de segurança costumam chegar muito mais rapidamente aos utilizadoers de sistemas livres do que aos utilizadores de sistemas proprietários.
    Nos sistemas *nix existem uma série de medidas redundantes para garantir a segurança (separação de privilégios rigida, não permitir a execução de novos ficheiros, e outras muito mais poderosas, etc...). E nunca houve nenhum malware que causasse estragos a sério da forma a que estamos acostumados a ver em window$.




    Mais logo coloco aqui alguma informação sobre segurança em sistemas *nix e em particular em Ubuntu, agora há trabalho para fazer.




    Há sempre serviços a correr em qualquer sistema, mas em Ubuntu segundo me lembro tem pelo menos o postfix a fazer distribuição e entrega local, para além disso ele pode querer correr o Samba para partilhar ficheiros.





    O resultado é a alteração de algumas configurações de rede do kernel Linux de forma a ignorar algumas comunicações na rede. Não acho que devas fazer o que ele sugere, porque pode quebrar alguma funcionalidade que necessites (por exemplo os protocolos de partilha de ficheiros e impressora vivem muito à custa de broadcasts, ignorar o ping, pode não ser também boa ideia em todos os casos, ou para todos os hosts e redes, para além de poder ser configurado na firewall.

    Este tipo de conselhos que ele deu, só se devem dar quando se conhece o caso particular do utilizador, porque não sabemos em que ambiente é que ele está ou vai estar e que funcionalidades é que ele vai necessitar. São boas medidas mas não em todos os casos.
     
  6. Metro

    Metro Benevolent Dictator For Life
    Staff Member

    Pois é que queria mesmo partilhar coisas. A ideia era essa e o problema é que passarei a ter um portátil que vai andar na minha rede e noutras redes. A configuração na minha rede é bastante boa não seria problema.

    Não percebo de nenhuma destas coisas. O que recomendas para elitura que seja simples e para Ubuntu. Como fazer etc. Precisava de manter isto a um nivel simples pq os meus conhecimentos são pequenos e sempre na optica de utilizador. Não tenho qq formação em informática.

    Optimo.

    Sim queria correr o Samba sem duvida.
     
  7. God_Lx

    God_Lx Folding Member

    Pois, eu nos desktops k uso não tenho NENHUM serviço... Logo referi k talvez ele não precisasse...

    As linhas k referi como o falco já explicou, desligam os broadcasts e resposta a pings, era só uma coisa básica que normalmente não trás problemas, apenas beneficios...
     
  8. falco

    falco Power Member

    Quanto ao que prometi ainda não tive tempo para isso, pode ser que mais logo tenha...



    Tenho sérias duvidas a respeito disso...
    Podes "despejar", aqui o resultado a um ls na directoria dos scripts de arranque do run-level que usas?
     
  9. God_Lx

    God_Lx Folding Member

    falco Slackware não tem rc's normais :) não te servia de muito o ls... Mas garanto-te que não tenho um unico serviço :) (E uso X com a opção para não fazer broadcast)

    Queres um netstat -antp ?
     

Partilhar esta Página